web安全渗透测试十大常规项(一):web渗透测试之Fastjson反序列化

news2024/9/17 7:29:46

渗透测试之Java反序列化

  • 1. Fastjson反序列化
    • 1.1 FastJson反序列化链知识点
    • 1.2 FastJson反序列化链分析
      • 1.3.1 FastJson 1.2.24 利用链分析
      • 1.3.2 FastJson 1.2.25-1.2.47 CC链分析
        • 1.3.2.1、开启autoTypeSupport:1.2.25-1.2.41
        • 1.3.2.2 fastjson-1.2.42 版本绕过
        • 1.3.2.3 fastjson-1.2.43 版本绕过
        • 1.3.2.4 fastjson-1.2.44 版本绕过
        • 1.3.2.5 通杀方案:1.2.25-1.2.47(checkAutotype绕过)

1. Fastjson反序列化

在这里插入图片描述

在这里插入图片描述

1.1 FastJson反序列化链知识点

1、为什么触发方法会存在反序列化?
2、利用链为什么要那样写才能触发?
3、高版本中有哪些防御手段又怎么绕过的?

1.2 FastJson反序列化链分析

基础参考:

https://xz.aliyun.com/t/12728

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1878241.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

VS2019+QT5.12.10: error MSB4036: 未找到“Join”任务。请检查下列各项: 1.) 项目文件中的任务名

VS2019+QT5.12.10: error MSB4036: 未找到“Join”任务。请检查下列各项: 1.) 项目文件中的任务名

1、背景 两个VS2019打开两个相同的项目,一个里可以正常运行, 一个中一直报错,,报的错也是瞎几把报的。。 2、重新安装插件 之前在VS的扩展中在线安装了qt插件, 安装了一半,比较慢,直接强行退出…
阅读更多...
论文工具使用---connected papers

论文工具使用---connected papers

如何使用connected papers 使用方法具体功能其他资源 官网地址:connected papers :一个旨在帮助科研工作者快速搜索文献的全新工具,可以清晰的查看文献的引文信息,了解文献的引用和被引用关联。 使用方法 输入论文标题后&#xf…
阅读更多...
Python逻辑控制语句 之 判断语句--石头剪刀布案例

Python逻辑控制语句 之 判断语句--石头剪刀布案例

需求: 1. 从控制台输入要出的拳 —— 石头(1)/剪刀(2)/布(3) 2. 电脑随机出拳 —— 先假定电脑只会出石头,完成整体代码功能 3. 比较胜负 胜负规则&#x…
阅读更多...
项目训练营第六天

项目训练营第六天

项目训练营第六天 前端注册界面开发 1、基本布局 将登录界面文件夹复制一份,粘贴到上一层目录User目录下,改名为Register 在typings.d.ts文件中添加如下的登录前端接口函数标准参数 以及返回值类型 2、接口开发 在api.ts中修改原先接口如下&…
阅读更多...
Django 自定义过滤器

Django 自定义过滤器

1,编写自定义过滤器并注册 创建目录 Test/app5/templatetags 分别创建文件 Test/app5/templatetags/__init__.py Test/app5/templatetags/myfilter.py 添加过滤器脚本 Test/app5/templatetags/myfilter.py from django import template register template.…
阅读更多...
计算机毕业设计PyFlink+Spark+Hive民宿推荐系统 酒店推荐系统 民宿酒店数据分析可视化大屏 民宿爬虫 民宿大数据 知识图谱 机器学习

计算机毕业设计PyFlink+Spark+Hive民宿推荐系统 酒店推荐系统 民宿酒店数据分析可视化大屏 民宿爬虫 民宿大数据 知识图谱 机器学习

本科毕业设计(论文) 开题报告 学院 : 计算机学院 课题名称 : 民宿数据可视化分析系统的设计与实现 姓名 : 庄贵远 学号 : 2020135232 专业 : 数据科学与大数据技术 班级 : 20大数据本科2…
阅读更多...
Linux开发讲课28---Linux USB 设备驱动模型

Linux开发讲课28---Linux USB 设备驱动模型

Linux 内核源码:include\linux\usb.h Linux 内核源码:drivers\hid\usbhid\usbmouse.c 1. BUS/DEV/DRV 模型 "USB 接口"是逻辑上的 USB 设备,编写的 usb_driver 驱动程序,支持的是"USB 接口": US…
阅读更多...
63.ThreadLocal原理

63.ThreadLocal原理

JDK8中ThreadLocal的设计 每个Thread维护一个ThreadLocalMap,这个map的key是ThreadLocal实例本身,value才是真正要存储的值Object。 Thread -> ThreadLocalMap -> <ThreadLocal实例对象, 变量副本> jdk早期设计 ThreadLocal -> ThreadLocalMap -> <T…
阅读更多...
6.优化算法之模拟

6.优化算法之模拟

1.替换所有的问号 . - 力扣&#xff08;LeetCode&#xff09; class Solution {public String modifyString(String s) {char[] sss.toCharArray();int nss.length;for(int i0;i<n;i){if(ss[i]?){for(char cha;ch<z;ch){if((i0||ss[i-1]!ch)&&(in-1||ss[i1]!c…
阅读更多...
Adobe Acrobat Pro或者Adobe Acrobat Reader取消多标签页显示,设置打开一个pdf文件对应一个窗口。

Adobe Acrobat Pro或者Adobe Acrobat Reader取消多标签页显示,设置打开一个pdf文件对应一个窗口。

Windows系统&#xff1a;Adobe Acrobat Pro或者Adobe Acrobat Reader首选项-一般-取消在同一窗口的新标签中打开文档&#xff08;需要重启&#xff09;的对勾&#xff0c;点击确定&#xff0c;彻底关闭后重启&#xff0c;这样打开的每一个PDF文件对应的是一个窗口&#xff0c;并…
阅读更多...
你无敌了!算法刷题之路之链表初探(一)

你无敌了!算法刷题之路之链表初探(一)

算法刷题之路之链表初探&#xff08;一&#xff09; 今天来学习的算法题是leecode141环形链表&#xff0c;是一道简单的入门题&#xff0c;话不多说&#xff01;直接上&#xff01; 条件 项目解释 有题目可以知道&#xff0c;我们需要判断链表中是否存在环&#xff0c;其实也是…
阅读更多...
免费翻译API及使用指南——百度、腾讯

免费翻译API及使用指南——百度、腾讯

目录 一、百度翻译API 二、腾讯翻译API 一、百度翻译API 百度翻译API接口免费翻译额度&#xff1a;标准版&#xff08;5万字符免费/每月&#xff09;、高级版&#xff08;100万字符免费/每月-需个人认证&#xff0c;基本都能通过&#xff09;、尊享版&#xff08;200万字符免…
阅读更多...
申请免费6个月SSL证书方式和证书特点槽点

申请免费6个月SSL证书方式和证书特点槽点

当前&#xff0c;HTTPS访问已成为网站标配。随着免费证书平台的不断涌现&#xff0c;Lets Encrypt尤为瞩目&#xff0c;其提供的泛域名和多域名证书申请功能&#xff0c;显著降低了站长和企业的经济负担。从一开始&#xff0c;来此加密就支持通过Lets Encrypt申请免费的域名SSL…
阅读更多...
C语言分支和循环(下)

C语言分支和循环(下)

C语言分支和循环&#xff08;下&#xff09; 1. 随机数生成1.1 rand1.2 srand1.3 time1.4 设置随机数的范围 2. 猜数字游戏实现 掌握了前面学习的这些知识&#xff0c;我们就可以写⼀些稍微有趣的代码了&#xff0c;比如&#xff1a; 写⼀个猜数字游戏 游戏要求&#xff1a; 电…
阅读更多...
Python逻辑控制语句 之 判断语句--if elif else 结构(多重判断)

Python逻辑控制语句 之 判断语句--if elif else 结构(多重判断)

1.if elif else 的介绍 # if elif else 如果 ... 如果 ... 否则 .... # 多个如果之间存在关系 应用场景&#xff1a;在判断条件时, 需要判断 多个条件, 并且对应不同条件要执行 不同的代码 2.if elif else 的语法 if 判断条件1: 判断条件1成立&#xff0c;执行的代码 elif 判…
阅读更多...
家电品牌如何利用3D数字化技术,突破转型瓶颈?

家电品牌如何利用3D数字化技术,突破转型瓶颈?

家电行业正经历着从增量市场向存量市场的转变&#xff0c;用户的消费观念也日趋成熟&#xff0c;更加注重产品的体验和服务质量。无论是线上购物平台还是线下实体门店&#xff0c;提供个性化和增强体验感的产品与服务已成为家电市场未来发展的核心驱动力。 51建模网依托“3D数字…
阅读更多...
嵌入式Linux系统编程 — 5.1 uname、sysinfo、gethostname、sysconf函数查询系统信息

嵌入式Linux系统编程 — 5.1 uname、sysinfo、gethostname、sysconf函数查询系统信息

目录 1 uname函数获取内核名称和信息 1.1 Linux系统命令行 1.2 系统调用函数 2 sysinfo 函数 3 gethostname 函数 4 sysconf函数 1 uname函数获取内核名称和信息 1.1 Linux系统命令行 在Linux系统中&#xff0c;uname命令行工具可以显示关于当前操作系统的信息。这个命…
阅读更多...
C++进阶

C++进阶

C进阶 一、细节1.cout与输出缓冲区2.constexpr3.NULL和nullptr是不同的类型4.关于inline5.函数杂合用法6.const char*、char const*、char * const7.进程地址空间&#xff0c;所谓静态区常量区不准8.位运算9.多态9.1 内存切片9.2 转型9.3 构造函数和析构函数里是静态绑定9.4 dy…
阅读更多...
石家庄高校大学智能制造实验室数字孪生可视化系统平台项目验收

石家庄高校大学智能制造实验室数字孪生可视化系统平台项目验收

智能制造作为未来制造业的发展方向&#xff0c;已成为各国竞相发展的重点领域。石家庄高校大学智能制造实验室积极响应国家发展战略&#xff0c;结合自身优势&#xff0c;决定引进数字孪生技术&#xff0c;构建一个集教学、科研、生产于一体的可视化系统平台。 数字孪生可视化…
阅读更多...
隐藏Python运行产生的缓存文件(__pycache__)

隐藏Python运行产生的缓存文件(__pycache__)

不少同学使用VScode 提交或运行python代码的时候&#xff0c;出现一些缓存文件 类似于(__pycache__) 这种&#xff0c;对于我这种有一丢丢强迫症的人来说&#xff0c;运行一次就得删除一次&#xff0c;那有没有什么办法将其隐藏的&#xff1f; 在vscode编辑器中打开设置&#…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023