记一次实战中对fastjson waf的绕过

文章预览

最近遇到一个fastjson的站，很明显是有fastjson漏洞的，因为@type这种字符，fastjson特征很明显的字符都被过滤了. 于是开始了绕过之旅，顺便来学习一下如何waf。 文章作者：先知社区（1341025112991831） 文章来源：https://xz.aliyun.com/t/15602 1 ► 编码绕过 去网上搜索还是有绕过waf的文章，下面来分析一手，当时第一反应就是unicode编码去绕过 首先简单的测试一下 parseObject :221 , DefaultJSONParser ( com .alibaba .fastjson .parser ) parse :1318 , DefaultJSONParser ( com .alibaba .fastjson .parser ) parse :1284 , DefaultJSONParser ( com .alibaba .fastjson .parser ) parse :152 , JSON ( com .alibaba .fastjson ) parse :143 , JSON ( com .alibaba .fastjson ) main :8 , Test 到如下代码 if (ch == '"' ) { key = lexer.scanSymbol( this .symbolTable, '"' ); lexer.skipWhitespace(); ch = lexer.getCurrent(); if (ch != ':' ) { throw new JSONException( " ………………………………