FastJSON(全系漏洞分析-截至2023/03/25)前言FastJSON也不是什么新奇玩意了，之前都是看别的师傅的分析文章，也没有自己手动调试过，纸上学来终觉浅；这次决定自己手动调试一下，跟踪一下各个利用链以及原理；全文一共7407个字，建议慢慢看；截至到目前，FastJSON>=1.2.83还未有新的漏洞，所以我的分析聚集在1.2.80及以下；使用的POC来自：https://github.com/safe6Sec/ShiroAndFastJson概述FastJSON可以使用@type属性将JSON字符串转化为指定的类，例如{

Cloudeureka.client.serviceUrl.defaultZone通过“/env”修改环境变量POST