本项目仅用于安全研究,禁止使用本项目发起非法攻击,造成的后果使用者负责
这是一个个人用于复现、公开一些感兴趣、或者影响稍大的漏洞的项目,没有多少技术含量,权当个人技术笔记。
fastjson
该模块主要记录一些fastjson的利用gadget,不过很多gadget并没有记录在案。
RCE相关
package:com.threedr3am.bug.fastjson.rce
com.threedr3am.bug.fastjson.rce.FastjsonSerialize(TemplatesImpl) 利用条件:fastjson <= 1.2.24 + Feature.SupportNonPublicField
com.threedr3am.bug.fastjson.rce.NoNeedAutoTypePoc 利用条件:fastjson < 1.2.48 不需要任何配置,默认配置通杀RCE
