记一次实战中对fastjson waf的绕过

文章预览

免责声明： 由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！ 最近遇到一个fastjson的站，很明显是有fastjson漏洞的，因为@type这种字符，fastjson特征很明显的字符都被过滤了. 于是开始了绕过之旅，顺便来学习一下如何waf。 文章作者：先知社区（1341025112991831） 文章来源：https://xz.aliyun.com/t/15602 1 ► 编码绕过 去网上搜索还是有绕过waf的文章，下面来分析一手，当时第一反应就是unicode编码去绕过 首先简单的测试一下 parseObject :221 , DefaultJSONParser ( com .alibaba .fastjson .parser ) parse :1318 , DefaultJSONParser ( com .alibaba .fastjson .parser ) parse :1284 , DefaultJSONParser ( com .alibaba .fastjson ………………………………