CVE-2017-7525
| ID: | 14067 |
|---|---|
| 标题: | CVE-2017-7525 |
| 描述: | Jackson-databind 反序列化漏洞(CVE-2017-7525) Jackson-databind 支持Polymorphic Deserialization特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 `TemplatesImpl`,可以实现任意代码执行。 flag在环境变量中 |
| 类型: | 实战 |
| 网站: | NSSCTF |
| 题目链接: | https://www.nssctf.cn/problem/4953 |
| 赛事: | None |
| 年度: | 2017 |
| Flag值: | 无 |
| writeup: |
https://blog.csdn.net/2303_80022567/article/details/149124737 无 https://www.cnblogs.com/EddieMurphy-blogs/p/18071442 |