Fastjson-1.2.47远程命令执行漏洞(标明坑位)
前言
最近一直想复现这个漏洞,但是一直没时间,也没怎么在网上找到真的有用的文章,太多水文了,10篇文章有9篇都是一模一样的copy,还有一篇就只copy了一半,另一半就不搞了,真的是有其人的,于是花了一点时间去复现这个洞,毕竟工作上有可能会遇到的,并且也标明了一些坑位,反正按照这篇文章是可以100%机率可以复现成功的
漏洞概述
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的sett
原创
2021-09-21 11:49:26 ·
1164 阅读 ·
3 评论