记一次实战中对fastjson waf的绕过

文章预览

声明： 该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。 请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。 来源：先知社区，作者：1341025112991831 原文： https://xz.aliyun.com/t/15602 现在只对常读和星标的公众号才展示大图推送，建议大家把 潇湘信安 “ 设为星标 ”， 否则可能看不到了 ！ 前言 最近遇到一个fastjson的站，很明显是有fastjson漏洞的，因为@type这种字符，fastjson特征很明显的字符都被过滤了 于是开始了绕过之旅，顺便来学习一下如何waf 编码绕过 去网上搜索还是有绕过waf的文章，下面来分析一手，当时第一反应就是unicode编码去绕过 首先简单的测试一下 parseObject :221 , DefaultJSONParser ( com .alibaba .fa ………………………………