每天了解一个漏洞——fastjson
每天了解一个漏洞——fastjson
标志:param参数内容被fastjson调用解析,个人理解为参数通过json的形式返回,类似于{"a":"132","b":"456"}这种形式进行传递数据
危害:通过构造特殊的java类,实现命令执行,反弹shell等
利用局限:需要fastjson版本<=1.2.68 而且本机使用javac编译时,用的java版本和目标所用的版本不能相差过大
利用:
首先需要判断目标主机是否采用fastjson,可以将json数据去掉大括号,例如
{"a":"132","b
原创
2022-01-19 21:30:57 ·
3692 阅读 ·
2 评论