0x00 简介

Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。
Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。
Fastjson 源码地址：https://github.com/alibaba/fastjson
Fastjson 中文 Wiki：https://github.com/alibaba/fastjson/wiki/Quick-Start-CN

0x01 fastjson特性

提供服务器端、安卓客户端两种解析工具，性能表现较好。
提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串，parseObject 方法则反过来将 JSON 字符串转换成对象。
允许转换预先存在的无法修改的对象（只有class、无源代码）。
Java泛型的广泛支持。
允许对象的自定义表示、允许自定义序列化类。
支持任意复杂对象（具有深厚的继承层次和广泛使用的泛型类型）

0x02 fastjson1.2.24反序列化复现环境准备

JDK环境 Maven环境
攻击机:192.168.164.128
https://blog.weik1.top/2021/09/08/Fastjson 反序列化历史漏洞分析/#Fastjson-1-2-24