文章总结： 作者在渗透测试中发现Fastjson利用LDAP协议在JDK8u472上无法触发反序列化仅能回连，经排查确认OpenJDK8u432及OracleJDK8u461之后的版本已回溯移植了限制策略，关闭了LDAP本地反序列化利用链，提示安全人员注意JDK版本更新对攻击面的影响。 综合评分： 85 文章分类： 漏洞分析,渗透测试,实战经验

JDK8也开始玩狠的了。

原创

ptr ptr

UpRoot

2026年3月8日 12:45 中国香港

最近打靶机遇到这样一种情况，fastjson1.2.47打JdbcRowsetImpl转jndi的时候出现ldap回连但是未能完整触发本地反序列化。

经过我的测试，内存马和反序列化链本身是没有问题的。

那问题就可能出现在协议上面了，于是我尝试使用rmi来打jndi。

结果是可以打通的。

这是为什么呢？

我当时初步怀疑是高版本JDK，比如JDK20以后，因为在我的认知里JDK20以后jndi的才被关了ldap反序列化。

当我查看JDK版本后，发现是JDK8u472。

那JDK8为什么打不了ldap？

和AI对话了一会给到我这个文档：https://bugs.openjdk.org/browse/JDK-8290367

原来在openjdk 8u432/11.0.25/17.0.13、oraclejdk 8u461/11.0.28/17.0.16以后，ldap就也被关了。

尽管可以触发回连，但是已经无法在本地进行反序列化了。

• END –

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：UpRoot ptr ptr《JDK8也开始玩狠的了。》