反序列化漏洞4-创新互联

fastjson简介

fastjson是阿里巴巴开发的java的一个库，可以将java对象转化为json格式的字符串，也可以将json格式的字符串转化为java对象

10年专注成都网站制作，成都定制网站，个人网站制作服务，为大家分享网站制作知识、方案，网站设计流程、步骤,成功服务上千家企业。为您提供网站建设,网站制作,网页设计及定制高端网站建设服务,专注于成都定制网站,高端网页制作,对食品包装袋等多个领域，拥有多年的营销推广经验。

提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串，parseObject 方法则反过来将 JSON 字符串转换成对象。

fastjson的优点 速度快 使用广泛 测试完备 使用简单 功能完备 fastjson反序列化漏洞原理

在反序列化的时候，会进入parseField方法，进入该方法后，就会调用setValue(object, value)方法，在这里，会执行构造的恶意代码，最后造成代码执行。 那么通过以上步骤，我们可以知道该漏洞的利用点有两个，第一是需要我们指定一个类，这个类的作用是为了让程序获取这个类来进行反序列化操作。第二是需要将需要执行的代码提供给程序，所以这里使用了rmi。 然后反序列化的时候会去请求rmi服务器，地址为： dnslog.cn/aaa。然后加载aaa这个恶意class文件从而造成代码执行。

利用类 com.sun.rowset.JdbcRowSetImpl dataSourceName支持传入一个rmi的源，可以实现JNDI注入攻击 版本时间线 

贡献 

你是否还在寻找稳定的海外服务器提供商？创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源，准确流量调度确保服务器高可用性，企业级服务器适合批量采购，新人活动首月15元起，快前往官网查看详情吧

文章题目：反序列化漏洞4-创新互联
链接地址：http://cxhlcq.com/article/ejsie.html