一直以来,对FastJson这个组件库的学习就没停过,但是很多时候搭建环境还是非常麻烦的,尤其是到了后面,需要配合其他依赖才行。今天在网上找到了这个项目,涵盖了很多Fastjson的漏洞环境。最开心的是,关于他的描述FastJson全版本Docker漏洞环境(涵盖1.2.47/1.2.68/1.2.80等版本),主要包括JNDI注入、waf绕过、文件读写、原生反序列化、利用链探测绕过、不出网利用等。设定场景为黑盒利用,从黑盒的角度覆盖FastJson深入利用全过程,部分环境需要给到jar包反编译分析。 Docker环境,开箱即用。以及:每个机器根目录下都藏有flag文件,去尝试获取吧! 感觉很不错,最近正好还要复现一些Fastjson,体验一下。