代码拉取完成,页面将自动刷新
闲来无事,在家写了个fastjson后端组件探测,用于探测后端是否使用fastjson。
使用的poc如下:
fastjson_poc = '{{"@type":"java.net.URL","val":"http://%s"}:"x"}' % val
不仅能够探测POST中的json数据,还能够判断GET中的json数据,支持urlencode、urldecode等。
两种数据对应格式如下:
GET:
GET /?json={"fastjson":"example"}
POST:
POST /
...
{"fastjson":"example"}
导入插件即可默认开始使用,对数据包进行被动扫描,由于使用的是burp自带的dnslog,所以稍微会有电脑延时,代码里写了sleep 10来获取result。
当导入数据包后,在burp内可以看到FastjsonScanner这个窗口,代表导入成功,当探测成功后,会在其中显示对应的数据包以及参数:
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
马建仓 AI 助手