由於內容比較簡單，我直接貼圖，怕我自己忘了。 　　測試Fastjson版本號：1.2.15 　　直接發送用burpsuite發送payload，將dataSourceName改成dnslog獲取到的域名。 　　payload ...

查詢請求了，圖示如下。 DNS在解析的時候會留下日志，咱們這個就是讀取多 ...

...

目錄 0x01 什么是DNSlog注入 0x02 DNS注入原理 0x03 使用場景和條件 0x04 配合sql注入 0x05 配合其他攻擊 0x01 什么是DNSlog注入 DNSlog注入，也叫DNS帶外查詢，它是屬於帶外通信的一種(Out ...

FastJSON是一個很好的java開源json工具類庫，相比其他同類的json類庫，它的速度的確是fast，最快！但是文檔做得不好，在應用前不得不親測一些功能。 實際上其他的json處理工具都和它差不多，api也有幾分相似。 一、JSON規范 ...

開源項目 fastjson分類 gadget gadget原理 修復記錄 不出網 1.直接反序列化 _bytecodes 2.直接反序列化，通過dbcp 版本識別 ...

學習鏈接：https://www.bilibili.com/video/BV1y5411s7jk FastJson源碼地址：https://github.com/alibaba/fastjson FastJson中文Wiki：https://github.com/alibaba ...

判斷linux還是windows 1.先測試ping.exe test.ob3.ceye.io 是否接收到dnslog解析,如果可以則說明是windows 2.再測試ping -c 1 test.ob3.ceye.io，如果可以執行說明是linux。 需要注意的是，windows執行 ...