文章总结： 本文发布fastjson写文件挑战2，设定开发员移除IO组件并升级JDK11以规避漏洞，要求参赛者在受限环境下getshell。作者提供靶场地址与源码，设立奖金激励首位提交预期或非预期解法的参与者，若一周内无解将延长时限。 综合评分： 82 文章分类： 渗透测试,漏洞分析,CTF

fastjson写文件挑战2——有奖金

原创

珂字辈 珂字辈

珂技知识分享

2026年2月24日 11:10 湖北

前情提要

fastjson写文件挑战

为此我创造了一个更难的环境。

http://104.160.44.44:8078/json

https://github.com/kezibei/fastjson_payload/tree/main/docker

简介：小明作为开发员，虽然知道fastjson版本过低存在漏洞，但因为兼容性问题没法升级fastjson。但他仔细看了漏洞利用过程，觉得是io组件和jdk版本的问题，于是他删除了io并升级到jdk11。那么你还能利用成功吗？

无flag，要求getshell并且给出wp，wp提交方式直接回复公众号或者邮箱[email protected]

奖金同样是第一位预期500，第一位非预期500。

为期一周，如果一周内没人解出来，就无限延长，直到有第一个人解出来为止。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：珂技知识分享 珂字辈 珂字辈《fastjson写文件挑战2——有奖金》