安全小白成长记
2
信息安全等级高级测评师
CISP-PTE
安全小白成长记2
信息安全等级高级测评师
CISP-PTE
Fastjson是Alibaba开发的Java语言编写的高性能JSON库。
攻击者准备rmi服务和web服务,将rmi绝对路径注入到lookup方法中,受害者JNDI接口会指向攻击者控制rmi服务器,JNDI接口向攻击者控制web服务器远程加载恶意代码,执行构造函数形成RCE。
fastjson漏洞历史
1.fastjson-1.2.24
(fastjson接受的JSON可以通过@type字段来指定该JSON应当还原成何种类型的对象,在反序列化的时候方便操作)
2.fastjson-1.248以下
(checkAutoType中使用TypeUtils.getClassFromMapping(typeName)去获取class不为空,从而绕过了黑名单检测)
3.fastjson-1.2.60以下
(在此版本以下,字符串中包含\x转义字符时可以造成dos漏洞)
推荐文章
