https://cdn.bingbingzi.cn/touxiang.jpeg

Fastjson 1.2.25 - 1.2.41 黑名单绕过学习

在 fastjson 1.2.25 中,定义了以下黑名单阻止大部分利用链 但是在之后执行的 TypeUtils 的 loadClass 里将 [、L 开头的 className 进行了处理,其中 L 开头的 className 直接取第二位到倒数第二位字符,成

Fastjson 1.2.22-1.2.24 反序列化漏洞学习

Fastjson fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发 Fastjson 1.2.22-1.2.24 反序列化漏洞 首先构建项目,我使用的是 Maven,在 pom.xml 里添加以下