fastjson反序列化学习-01
2025-03-15fastjson反序列化学习-01_fastjson 多态反序列化
JAVA安全—fastjson反序列化&利用链跟踪&autoType绕过
2025-02-24目前主流公开的利用链都进行了分析,后续如果有其它的链条,再慢慢分析吧。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。_fastjson 1.2.80利用链
fastjson反序列化漏洞
2024-08-25使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,_几个fastjson反序列化漏洞常用类
用友NC Cloud blobRefClassSearch fastjson反序列化RCE漏洞复现
2024-08-10用友 NC Cloud blobRefClassSearch 接口处存在fastjson反序列化漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。_blobrefclasssearch fastjson反序列化漏洞
海康威视综合安防管理平台 多处 fastjson反序列化RCE漏洞复现
2024-06-19由于海康威视综合安防管理平台使用了低版本的fastjson,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。_海康威视综合安防管理平台 autologinticket 远程代码执行漏洞
fastjson反序列化漏洞——fastjson RCE漏洞的源头(1.2.24-rce)
2024-04-29FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。_fastjson rce