- 写法有限制具体看代碼。
攻击利用了fastjson的@type
属性使用它可以指定实例化对象的类。Payload有几个这里挑最普遍使用的JNDI
方法来分析原理。 payload如下,利用参考:
|
|
关于JNDI记下我嘚理解:
- RMI和JNDI很类似,基本没区别RMI连接可以使用JRMP技术绕过一些黑名单限制(参考WebLogic)。
有这么一个问题能否套用Java反序列化方法,來攻击fastjson 为了回答这个问题,我写了个Demo来看看fastjson序列化过程会调用哪些方法:
|
|
结果我写在代码注释里面了总结一下就是:
|
|
代码裏面看着比较清晰,请看我的github欢迎点赞。