文章总结： 本文详细记录了一次针对教育站点fastjson漏洞的渗透测试过程，作者通过判断出网情况、确定fastjson版本为1.2.47、分析依赖关系，最终使用CB链成功获取远程代码执行。文章强调了知识面决定攻击面的重要性，并分享了从BCEL打法到CCK1链再到CB链的完整攻击思路，体现了渗透测试中的系统化思维和技术深度。 综合评分： 85 文章分类： 渗透测试,漏洞分析,WEB安全,代码审计,实战经验

记一次edu站点的fastjson打法

不秃头的安全

2025年12月16日 13:37 北京

以下文章来源于UpRoot ，作者ptr

UpRoot .

关于我学习过程的记录分享，主要涉及代码审计、Java安全、渗透测试、漏洞武器化。

记一次edu站点的fastjson打法

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。
知识星球和交流群在最下方。
需要CN*D、NCC\NVDB（中高）/CNN*D（高与支撑单位）/CISP等安全证书请联系vx咨询

最近在忙打tilte和cnvd的一些事情，很多东西不适合分享出来，因此一直没有更新公众号。

今晚忙中偷闲打了一个很厉害的朋友给的fastjson站，再不务正业地写了篇文章，分享下打法。

一看出网。

这里给出结论该站DNS不出网，但是LDAP出网。

二看版本。

报错链直接出版本。

{
  "@type": "java.lang.AutoCloseable"

fastjson-1.2.47。下面思路就清晰了。在Fastjson1.2.47及其以前版本中，存在通杀方法，甚至不需要开启AutoTypeSupport。本质上是使用缓存cache到mappings中绕过限制。

出网打法是JdbcRoSetImpl，不出网打BCEL。

笔者觉得出网太low，因此第一时间尝试BCEL打法。

对于尝试BCEL打法，如果你直接生成payload去打，未免有点脚本小子。

笔者认为对于fastjson的攻击要步步为营。那么第三看就是看依赖。

如何看依赖？

第一时间脑子就该有三种方法。分别是dns、延时、报错。

对于此场景，有报错，打报错即可。

如果依赖存在，报错回显can not cast to char。

如果不存在，正常回显。

基于此，我们判读BCEL是否存在以及判断一下JDK版本。

org.apache.tomcat.dbcp.dbcp.BasicDataSource  //tomcat-dbcp-7-BCEL
org.apache.tomcat.dbcp.dbcp2.BasicDataSource //tomcat-dbcp-8及以后-BCEL

com.sun.org.apache.bcel.internal.util.ClassLoader

好的，存在BCEL，但是没有触发器了。不要气馁，我们low一些打出网去吧。

这里给出了一个信息，JDK<8u251。对于出网打JNDI的话，如果再小于191就直接打基础的反序列化了。但是笔者觉得还是太low，目前已经有报错了，为何不再进一步看依赖，打本地LDAP反序列化呢？我们知道LDAP在JDK11以后才被ban了一些不好用，这里的情景是完全可以用的。

第一时间想到的是CCK1，浑然天成，百用不厌。

先看看是否有Transformer这个转化类。再看环境中是否有Templatesimpl这个CCK1的最终Sink点。

好的，都有，我们Javachains直接跑一个CCK1链出来。

梅开二度了，报了下面一大坨的错。

把报错给AI看，结论是CCK1打不了，估摸着版本大于3.2.1。

那CCK1打不了，就打CB链，这个也舒服。

好的，那就打CB链了，Javachains跑个cb1.9链子出来，并调用jmg打个tomcat回显马。

R了。后续打内存马无果，直接一键上线vshell梭哈。

对于打fastjson，无非知识面决定攻击面，你知道多少，你就能打多少。

一个站打了，不要仅仅是打了，要有总结、记录、反思，下次遇到同类型的站才能够得心应手。

后续笔者会更新fastjson打法总结，从漏洞产生原因到各种出不出网的打法，绕waf姿势及原因，如果感兴趣，请关注UpRoot，我们一起成长，一起变强，为了更好的生活，持续奋斗。

往期推荐：

无vps的vshell怎么使机器临时上线？

CVE-2025-55182 RCE最新利用，非垃圾洞~在野利用

大洞速修！已复现CVE-2025-55182

关于我们:

感谢各位大佬们关注-不秃头的安全，后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章，同时会组织不定期抽奖，希望能得到各位的关注与支持，考证请加联系vx咨询。

1. 需要以下各类安全证书的可以联系，低价

①Cn*d，NCC，NVDB🀄️高证书

②CNNVD中高\漏洞情报\ 一二三级支撑单位均可协助获得

③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可，证书组团报更便宜，可对公，可开专普票。想加群下方链接，群过期或群满加下方vx拉：

2. 需要入星球的可以私聊优惠

星球里有什么？

1、维护更新src、cnxd、cnnxd专项漏洞知识库，包含原理、挖掘技巧、实战案例
2、fafo/零零信安/QUAKE 高级会员key
3、最新POC通用报告详情分享思路
4、知识星球专属微信“内部圈子交流群”
5、攻防演练资源分享（免杀、溯源、钓鱼等）
6、最新新鲜工具分享
7、不定期有工作招聘内推（工作/护网内推）
8、19个专栏会持续更新~提前续费有优惠，好用不贵很实惠

3、其他合作（合法合规）

1、承接红蓝攻防、渗透、安全意识培训、基线核查及加固、应急响应、重保防守、代码审计等安全项目（须授权），需要攻防团队或岗位招聘都可代发、代招（灰黑勿扰）；

2、各位安全老板需要文章推广的请私聊，承接合法合规推广文章发布，可直发、可按产品编辑推广；合作、推广代发、安全项目、岗位代招均可发布；

3、接受脱敏投稿,送一年知识星球及礼包。

查看原文：《记一次edu站点的fastjson打法》