前言 fastjson公开的就三条链，前两天我们上篇文章已经分析。TemplatesImpl要求太苛刻了，JNDI的话需要服务器出网才行。今天学习的这条链就是可以应对不出网的情况。 BCEL 什么是BCEL BCEL的全名应该是Apache Commons BCEL，属于Apache ...

1.常见操作和方法 1.1 对象之间的转化 2.操作实例 2.1 实例1 2.2 实例2 ...

FastJSON是一个很好的java开源json工具类库，相比其他同类的json类库，它的速度的确是fast，最快！但是文档做得不好，在应用前不得不亲测一些功能。 实际上其他的json处理工具都和它差不多，api也有几分相似。 一、JSON规范 ...

开源项目 fastjson分类 gadget gadget原理 修复记录 不出网 1.直接反序列化 _bytecodes 2.直接反序列化，通过dbcp 版本识别 ...

学习链接：https://www.bilibili.com/video/BV1y5411s7jk FastJson源码地址：https://github.com/alibaba/fastjson FastJson中文Wiki：https://github.com/alibaba ...

反序列化漏洞例子 0x00、fastJSON练习 参考上面的链接，写一个类，并用fastJSON序列化。查阅API，fastJSON的序列化函数有： 关键就在SerializerFeature... SerializerFeature.WriteClassName ...

FastJson利用链 Fastjson的版本在1.2.22-1.2.24主要有两条链利用TemplatsImpl和JdbcRowSetImpl利用链先来学习TemplatsImpl利用链，这个与前面jdk7u21所用的都是通过defineclass来实例化恶意字节码导致的任意代码执行 ...

JSONObject json = new JSONObject(); //设置json属性，可以是对象，数值 json.put("key",value); //获取json的普通对象和数值 ...