FastJSON(全系漏洞分析-截至2023/03/25)
FastJSON(全系漏洞分析-截至2023/03/25)前言FastJSON也不是什么新奇玩意了,之前都是看别的师傅的分析文章,也没有自己手动调试过,纸上学来终觉浅;这次决定自己手动调试一下,跟踪一下各个利用链以及原理;全文一共7407个字,建议慢慢看;截至到目前,FastJSON>=1.2.83还未有新的漏洞,所以我的分析聚集在1.2.80及以下;使用的POC来自:https://github.com/safe6Sec/ShiroAndFastJson概述FastJSON可以使用@type属性将JSON字符串转化为指定的类,例如{
3月25日 下午 3:25