fastjson反序列化

24 年 12 月 23 日 星期一
187 字
1 分钟

fastjson反序列化


版本1.2.80


题目源码


text
package demo.Controller;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class JsonController {
    @RequestMapping(value={"/json"}, method={RequestMethod.POST})
    public String json(String json) {
        JSONObject jsonObject = null;
        try {
            jsonObject = JSON.parseObject((String)json);
            return jsonObject.toJSONString();
        }
        catch (Exception e) {
            e.printStackTrace();
            return "error";
        }
    }
}

平平无奇的源码,值得注意的是因为用了 @RequestMapping注解,所以它是从表单里面获取一个名叫json的键,然后值才是json格式(逆天题目设计,害得我捣鼓了半天,最后在本地跑了才发现端倪)

1.2.80特性


先跳过,后面再补充



题目


这里拿到源码JsonController.class和pom.Xml 可知这里接收一个json,并被fastjson反序列化。Fastjson的版本为1.2.80,环境只有commons-io和org.javassist依赖

文章标题:fastjson反序列化

文章作者:huarui

文章链接:https://54huarui.online/posts/fastjson1[复制]

最后修改时间:

商业转载请联系站长获得授权,非商业转载请注明本文出处及文章链接,您可以自由地在任何媒体以任何形式复制和分发作品,也可以修改和创作,但是分发衍生作品时必须采用相同的许可协议。
本文采用CC BY-NC-SA 4.0进行许可。