反序列化漏洞4-创新互联
fastjson简介
版本时间线
网站名称:反序列化漏洞4-创新互联
网站URL:http://6mz.cn/article/ejsie.html
fastjson是阿里巴巴开发的java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象
提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。
fastjson的优点 速度快 使用广泛 测试完备 使用简单 功能完备 fastjson反序列化漏洞原理在反序列化的时候,会进入parseField方法,进入该方法后,就会调用setValue(object, value)方法,在这里,会执行构造的恶意代码,最后造成代码执行。 那么通过以上步骤,我们可以知道该漏洞的利用点有两个,第一是需要我们指定一个类,这个类的作用是为了让程序获取这个类来进行反序列化操作。第二是需要将需要执行的代码提供给程序,所以这里使用了rmi。 然后反序列化的时候会去请求rmi服务器,地址为: dnslog.cn/aaa。然后加载aaa这个恶意class文件从而造成代码执行。
利用类 com.sun.rowset.JdbcRowSetImpl dataSourceName支持传入一个rmi的源,可以实现JNDI注入攻击 版本时间线 
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧
网站名称:反序列化漏洞4-创新互联
网站URL:http://6mz.cn/article/ejsie.html