0x00 前言比较重要，单开一章。 本文有些不妨调试的地方，我没有进行调试，有兴趣的读者不妨尝试一下。 0x01 思路常规的FastJson反序列化是传入JSON字符串，利用parse方法或者parseObject方法进行解析。 Java原生反序列化...

0x00 前言本文先讲解fastjson版本低于1.1.25的gadget，再讲解高版本绕过。 0x01 gadget <= 1.1.24概述FastJson反序列化与Serializable反序列化的区别： FastJson...

0x00 前言本文将缩减调试配图，增加言语概述，对于新手理解本文有一定的难度（新手也不会看本文吧）。 0x01 概述概念 Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库，用于将数据在 JSON 和 Java O...