FastJson 反序列化漏洞 主要记录的是 1.2.24 ~ 1.2.47 的版本利用。 基本了解 构成漏洞的主要成因是 FastJson 在反序列化的过程中能够灵活的调用类的 getter 方法和 setter 方法。 反序列化常用 parse 方法和 parseObject 进行处理。两者的区别在于后者能够调用类中任意的 getter 方法(…
这里总结了一下 CommonCollections 的相关利用链 CC1 影响版本: CommonsCollections 3.1 - 3.2.1 jdk 1.7 因为 jdk 8 没有 setValue 操作,因此链断了。 Transformer 是 org.apache.commons.collections 包下的 Transformer 接…