記錄一下 1、在網上突然發現這個漏洞，就去嘗試復現了一下，本次不記錄漏洞形成原因，只記載復現 2、首先Fastjson百度了解一下只知道是一個java庫，搜尋一下靶場環境搭建，網上大部分的都比較繁瑣， 個人推薦可以使用Vulhub搭建是和docker一起使用的官網地址：https ...

Fastjson 1.2.24、47 反序列化導致任意命令執行漏洞復現 漏洞描述： fastjson是一個java編寫的高性能功能非常完善的JSON庫，應用范圍非常廣，在github上star數都超過8k。 在2017年3月15日，fastjson官方主動爆出fastjson在1.2.24 ...

環境搭建： sudo apt install docker.io git clone https://github.com/vulhub/vulhub.git cd vulhub fastjson 1.2.24-rce 目錄 啟動容器 sudo docker-compose up ...

漏洞分析 https://www.secpulse.com/archives/72391.html 復現參考 https://www.cnblogs.com/hack404/p/11980791.html https://www.cnblogs.com/tr1ple/p ...

Fastjson1.2.24 目錄 1. 環境簡介 1.1 物理環境 1.2 網絡環境 1.3 工具 1.4 流程 2. Docker+vulhub+fastjson1.2.24 2.1 Docker啟動 ...

一、概述 　　fastjson自2017年爆出序列化漏洞以來，漏洞就一直停不下來。本次主要研究2017年第一次爆出反序列化漏洞。 二、漏洞復現 　　首先在本機簡單進行下漏洞復現。 創建Poc類 該類為最終觸發利用代碼的類，因為是通過JAVA RMI方式讀取，所以該類需繼承 ...

漏洞原理 　　Fastjson 是阿里巴巴的開源JSON解析庫，它可以解析 JSON 格式的字符串，支持將 Java Bean 序列化為 JSON 字符串，也可以從 JSON 字符串反序列化到 JavaBean。 　　Fastjson提供了autotype功能，允許用戶在反序列化數據中 ...

Fastjson反序列化漏洞利用分析 ​ 背景 在推動Fastjson組件升級的過程中遇到一些問題，為幫助業務同學理解漏洞危害，下文將從整體上對其漏洞原理及利用方式做歸納總結，主要是一些概述性和原理上的東西。 漏洞原理 多個版本的Fastjson組件在反序列化不可信數據時會導致代碼執行 ...