上午 @tomato 分享的Fastjson的POC，之前在vulhub下测试过，就是打不了。后来我们发现java 8u121（ Java™ SE Development Kit 8, Update 121 Release Not... ）进行了更新，增加了 com.sun.jndi.rmi.object.trustURLCodebase 选项，只有设置了这个选项为True的时候才能正常使用URL进行class的加载。 之前我一直对反序列化这块比较模糊，fastjson这个Payload其实和传统的反序列化有点区别。以前反序列化是出现在rmi通信过程中，而这个POC虽然也用到了rmi，但是是利用JNDI其能加载外部class的特点来执行的代码，和RMI其实没太大关系。 之前有很多同学说Java的知识我们提到的比较少，所以可能会慢慢增加一些Java的知识分享。 刚正常看到有几篇文章也在说这个事儿，分享一下： Apache Commons Fileupload cve分析和复习 Spring Security OAuth 代码执行漏洞和分析 CVE-2013-6430 Spring mvc xss学习和分析 Spring 框架的反序列化漏洞