记一次实战中对fastjson waf的绕过

文章预览

  原文首发在：先知社区 https://xz.aliyun.com/t/15602 最近遇到一个fastjson的站，很明显是有fastjson漏洞的，因为@type这种字符，fastjson特征很明显的字符都被过滤了 于是开始了绕过之旅，顺便来学习一下如何waf 编码绕过 去网上搜索还是有绕过waf的文章，下面来分析一手，当时第一反应就是unicode编码去绕过 首先简单的测试一下 parseObject:221, DefaultJSONParser (com.alibaba.fastjson.parser) parse:1318, DefaultJSONParser (com.alibaba.fastjson.parser) parse:1284, DefaultJSONParser (com.alibaba.fastjson.parser) parse:152, JSON (com.alibaba.fastjson) parse:143, JSON (com.alibaba.fastjson) main:8, Test 到如下代码 if (ch == '"') { key = lexer.scanSymbol(this.symbolTable, '"'); lexer.skipWhitespace(); ch = lexer.getCurrent(); if (ch != ':') { throw new JSONException("expect ':' at " + lexer.pos() + ", name " + key); } } 进入scanSymbol方法 方法就是对我们 ………………………………