利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞(CVE-2017-7525)

最新推荐文章于 2024-09-29 09:37:20 发布
最新推荐文章于 2024-09-29 09:37:20 发布
阅读量8.3k 收藏 1
点赞数 1
分类专栏: 渗透 文章标签: Vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/95336058
版权
本文档详细介绍了如何复现Vulnhub上的Jackson-databind漏洞(CVE-2017-7525和CVE-2017-17485)。通过理解漏洞原理和复现步骤,包括环境启动、端口设置、BurpSuite配置,展示了如何利用Jackson-databind的Polymorphic Deserialization特性进行代码执行。
摘要由CSDN通过智能技术生成

Jackson-databind 反序列化漏洞(CVE-2017-7525)

Vulnhub官方复现教程

https://vulhub.org/#/environments/jackson/CVE-2017-7525/

漏洞原理

Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。

所以,本漏洞利用条件如下:

  • 开启 JacksonPolymorphicDeserialization,即调用以下任意方法

    objectMapper.enableDefaultTyping(); // default to using DefaultTyping.OBJECT_AND_NON_CONCRETE
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);

  • Target class 需要有无参 constructor

  • Target class 中需要需要有字段类型为 Interface、abstract class、Object,并且使用的 Gadget 需要为其子类 / 实现接口

复现过程

启动环境

https://blog.csdn.net/JiangBuLiu/article/details/93853056
进入路径为

cd /root/vulhub/jackson/CVE-2017-7525

搭建及运行漏洞环境:

docker-compose build && docker-compose up -d

用时:2分钟
环境启动后,访问

最低0.47元/天 解锁文章
建瓯最坏
关注
专栏目录
Jackson 反序列化远程代码执行漏洞复现
Ms08067安全实验室
07-24 2255
本文作者:light(Ms08067实验室 SRSP TEAM小组成员)jackson介绍Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为j...
Jackson-databind 反序列化漏洞CVE-2017-17485)
玄道的网安博客
06-17 1939
漏洞搭建 cd /root/vulhub/jackson/CVE-2017-7525 docker-compose up -d 漏洞原理 利用 FileSystemXmlApplicationContext加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件中使用 Spring EL 来调用 start()方法实现命令执行 CVE-2017-7525 黑名单修复绕过,利用了 org.springframework.context.suppor...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
Jackson-databind 反序列化漏洞复现CVE-2017-7525
whojoe的博客
05-26 3510
Jackson-databind 反序列化漏洞复现CVE-2017-7525)环境搭建启动docker下载环境生成docker环境漏洞检测区分 Fastjson 和 Jackson漏洞复现小结参考文章 环境搭建 启动docker systemctl start docker 下载环境 git clone https://github.com/vulhub/vulhub.git 也可以使用码云上个人维护的镜像 git clone https://gitee.com/fahawifi/vulhub.git
网络安全常见漏洞篇——反序列化漏洞
最新发布
ewii12567的博客
09-29 2048
要了解反序列化漏洞,首先我们得知道什么是序列化和反序列化,简单来说序列化:就是将对象转化为字符串进行存储;反序列化:就是将字符串转化为对象;反序列化漏洞:就是在反序列化过程中,如果恶意者可以对将要转换的字符串进行操控,从而达到任意代码执行的操作,就是反序列化漏洞反序列化漏洞的主要原理是应用程序在反序列化过程中没有对传入的数据进行足够的验证和过滤,导致攻击者可以利用构造的恶意序列化数据来执行任意代码或远程代码执行攻击。一般情况下,应用程序在接受到序列化数据后会使用反序列化操作将数据还原成对象。
jackson框架java反序列化漏洞_Jackson CVE-2019-12384: 反序列化漏洞复现
weixin_39830200的博客
02-23 452
文章参考:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html环境搭建引入jar包:ssrf payload:"[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:tcp://139.196.103.119:9999/test\"}]...
Jackson-databind 反序列化漏洞CVE-2017-7525复现
HEAVEN569的博客
03-12 2043
1.漏洞出现的原因 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当json字符串转换的Target class中有polymorph fields,即字段类型为接口、抽象或Object类型时,攻击者可以通过在json字符串中指定变量的具体类型(子类或者接口实现类,)来实现实例化指定的类,借助某些特殊的class,如TemplatesImpl,可以实现任意代码执行。 所以本漏洞利用条件如下 1.开启JacksonPo..
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 3204
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
Jackson反序列化远程代码执行漏洞CVE-2020-24616)复现
玄道的网安博客
04-26 2802
简介 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 影响版本 jackson-databind < 2.9.10.6 环境搭建 搭建一个Java项目,新建一个Poc类,下载并导入存在漏洞的包 导入存在漏洞的包 exp文件 编译并启动环境 javac Exploit.java py -3 -m http.server 88...
jackson CVE-2017-7525 漏洞复现
Shanfenglan's blog
11-29 1705
CVE-2017-7525 Jackson-databind 反序列化漏洞 原理 Jackson-databind 在设置 Target class 成员变量参数值时,若没有对应的 getter 方法,则会使用 SetterlessProperty 调用 getter 方法,获取变量,然后设置变量值。当调用 getOutputProperties() 方法时,会初始化 transletBytecodes 包含字节码的类,导致命令执行,具体可参考 java-deserialization-jdk7u21-ga
jackson-cve-2017-7525
haha1314的博客
08-07 588
jackson-cve-2017-7525 加上接受的内容格式会报错 在tmp目录下面创建一个prove1.txt文件,创建文件的命令是加密的,怎么加密的我也不知道。 POC { "param": [ "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl", { "transletBytecodes": [ "yv66vgAAADMAKAoABAAUCQADABUHABYHABcBAAVwYXJhbQE
漏洞检测CVE-2017-7525---poc
01-20
漏洞检测CVE-2017-7525---poc
Jackson CVE-2017-7525 反序列化漏洞
王嘟嘟的博客
03-01 953
Jackson 相对应fastjson来说利用方面要求更加苛刻,默认情况下无法进行利用
jackson反序列化漏洞
l_l_c_q的博客
08-10 1235
jackson反序列化漏洞及POC
Jackson-databind 反序列化漏洞CVE-2017-7525&CVE-2017-17485)
EC_Carrot的博客
07-03 816
漏洞详细 具体详细请移步:https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 因为本人实在不懂这方面,只能先复现,然后慢慢磨了。 漏洞复现 CVE-2017-7525 发送以下数据包,即可执行touch /tmp/prove1.txt命令 POST /exploit HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en
jackson-databind反序列化漏洞
公众号shadow sock7
09-17 7961
CVE-2019-14540 A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariConfig. 这里使用的是:com.zaxxer.hikari.HikariConfig CVE-2019-...
vulhub漏洞复现29_Jackson
weixin_44193247的博客
02-03 1046
vulhub漏洞复现练习篇
buuctf [ThinkPHP]5.0.23-Rce
qq_1873822的博客
03-14 1252
poc POST /index.php?s=captcha HTTP/1.1 Host: yuorip Accept-Encoding: gzip, deflate Accept: / Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form.
Jackson-databind 反序列化漏洞CVE-2017-7525
玄道的网安博客
06-17 3764
漏洞原理 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。 所以,本漏洞利用条件如下: 开启 Jackso
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值