Jackson CVE-2021-20190 SSRF

已于 2023-10-22 11:17:58 修改
阅读量1.4k 收藏 2
点赞数 1
分类专栏: Java代码审计 文章标签: java 开发语言
于 2023-03-13 00:26:51 首次发布
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/129474090
版权
文章详细介绍了如何利用Jackson反序列化漏洞进行SSRF攻击,特别是通过JEditorPane和JTextPane组件的setPage方法。同时,提到了CVE-2021-20190,这是一个影响ApacheLog4j2的安全漏洞,攻击者可通过恶意XML文件远程执行代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

还是黑名单的绕过,等这篇写完我也去混一个试试

可以先看:

或者直接看总结也可以:

小于2.9.10.7

0x01 调用链

主要是设计javax.swing.JTextPane

poc:{"object":["javax.swing.JTextPane",{"page":"http://"}]},或者直接用JEditorPane也可以,因为JTextPane中也是调用JEditorPane。

在setPage方法处,可以触发URL
在这里插入图片描述
getStream处会传入url
在这里插入图片描述

在此处进行访问连接:

在这里插入图片描述

0x02 如何发现这条调用链

1.思路1

首先是需要找到一个触发的点,这里是SSRF。

那么我们需要关注的点就是,有一个方法中,存在一个变量URL,并且调用openConnection,并且这个变量URL必须是从参数传入的。

根据这个要求,我们来构建规则,可以很成功的扫到这个方法。类名这些可以忽略,做测试用的

在这里插入图片描述
调整一下规则:找到的方法比如要有入参,并且跟踪源里。并且是setter或者getter方法,并且要求和String进行绑定,则最终的扫描结果如下:

在这里插入图片描述

2.思路2

只要是继承JEditorPane的类都可以通过setpage进行触发。当然肯定是以默认可以调用的内容优先。

补充知识

Jackson

Jackson是一个基于Java语言的开源库,提供了一系列处理JSON格式数据的工具方法。它可以将Java对象转换成JSON格式,也可以将JSON格式的数据转换成Java对象。Jackson的主要优点包括模块化、高性能、易扩展、简单易用等。

Jackson提供了三个主要的API:

  1. Streaming API:使用流式的方式读写JSON数据,适用于大型JSON数据的处理。

  2. Tree Model API:将JSON数据解析为树型结构,适用于小型JSON数据的处理。

  3. Data Binding API:通过Java对象和JSON数据的相互转换,支持对象继承、多态等高级特性。

Jackson还提供了多种插件和扩展,例如支持XML格式数据的jackson-dataformat-xml插件,支持协议缓存的jackson-module-afterburner扩展等。

JEditorPane

JEditorPane是Java Swing中提供的一个组件,它可以用来显示和编辑多种文本格式,比如HTML、RTF和纯文本等。它提供了良好的可扩展性,可以通过设置不同的渲染器来支持不同的文本格式。

JEditorPane的功能非常强大,可以用来创建浏览器、文本编辑器等应用程序。它支持各种文本样式,包括字体、颜色、大小等,并且可以与其他Swing组件无缝集成,比如JScrollPane、JToolBar等。

使用JEditorPane,我们可以将HTML等文本格式轻松地嵌入到Swing应用程序中,并且可以通过设置HyperlinkListener来处理文本中的链接和点击事件。此外,JEditorPane还提供了一些常用的操作,比如复制、剪切、粘贴等。

JTextPane

JTextPane 是一个 Swing 组件,它允许用户在一个支持富文本编辑的文本区域中进行编辑。JTextPane 类似于 JTextField,但支持富文本格式,如字体、颜色、大小、样式等。它可以用于创建简单的文本编辑器、富文本阅读器、Web 浏览器等应用程序。

JTextPane 继承自 JEditorPane 类,它包含很多 JEditorPane 不具备的功能,例如向文本区域中插入图片、超链接、表格等。JTextPane 还支持撤销和重做操作,用户可以通过菜单或快捷键来使用这些功能。JTextPane 还支持文本选择、剪切/复制/粘贴、查找和替换等功能。

除了支持富文本格式,JTextPane 还支持多种文本类型,例如 HTML、RTF 和 plain text。它还可以通过组合实现多种功能,例如将文本区域分成几个区域,每个区域具有不同的文本样式和功能。

CVE-2021-20190

CVE-2021-20190 is a vulnerability that exists in versions 1.11.0 and earlier of the Apache Log4j 2 library. The vulnerability is caused by an improper input validation issue in the Log4j 2 XML configuration parser, which can be exploited by an attacker to remotely execute arbitrary code or cause denial of service (DoS) on the affected system.

The vulnerability can be exploited by sending a specially crafted XML file to an application that uses the Log4j 2 library. If the application parses the XML file using a vulnerable version of Log4j 2, the attacker can execute arbitrary code on the system with the same privileges as the user running the application.

The vulnerability has been assigned a CVSS score of 9.8 out of 10, which indicates that it is a critical vulnerability that requires immediate attention. Users are advised to upgrade to the latest version of Log4j 2 (1.12.0 or later) to mitigate the vulnerability. Additionally, users are also advised to review their applications for Log4j 2 usage and check for any vulnerable dependencies.

Jackson 远程命令执行漏洞(CVE-2019-12384)
玄道的网安博客
06-26 8284
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
jackson-cve-2019-12384
haha1314的博客
08-07 693
jackson-cve-2019-12384 当Jackson库对 JSON 进行反序列化的时候,存在反序列化漏洞,控制好反序列化的类,就能触发服务端请求伪造(SSRF)和远程代码执行漏洞(RCE)。 漏洞原理和分析参考: 运行漏洞环境: git clone https://github.com/cnsimo/vu1hub.git cd vu1hub/jackson/CVE-2019-12384-RCE/ docker-compose up -d 服务器IP:192.168.88.13 攻击机kali:1
深入剖析 Java 反序列化漏洞,从零基础到精通,收藏这篇就够了!
最新发布
喜欢Python编程的程序员柚柚呀
03-12 1004
每天早上七点三十,准时推送干货。
jackson-databind-vuln:Jackson Databind漏洞
05-26
杰克逊·德宾宾·沃恩 Jackson Databind漏洞
Jackson CVE-2017-17485 反序列化漏洞
王嘟嘟的博客
03-04 1481
CVE-2017-15095一样,是CVE-2017-7525黑名单绕过的漏洞,主要还是看一下绕过的调用链利用方式。涉及版本:2.8.10和2.9.x至2.9.3。
Jackson反序列化代码执行漏洞
I want to know a little more.
06-09 2454
在我们的一次研究过程中,我们分析了一个使用Jackson库对JSON进行反序列化的应用程序。在分析过程中,我们寻找到一个反序列化漏洞,并可以对反序列化的类进行控制。在本文中,我们将向读者展示攻击者如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)和远程代码执行等攻击。 该研究催生了新的CVE-2019-12384生成,并影响到了一系列RedHat产品: 漏洞攻击条件 正如Jackson在On Jackson CVEs中写到的那样:下面是利用工具需要的要求: (1)应用程序接受由不受信任的客
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 1181
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
CVE-2019-12384 jackson ssrf-rce漏洞复现
ZJT6666666的博客
12-28 1052
CVE-2019-12384 jackson ssrf-rce漏洞复现
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 3539
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
CVE-2020-13249
09-08
- *2* [CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE](https://download.csdn.net/download/weixin_42181545/19185756)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...
CVE-2021-2109
weixin_43899495的博客
02-02 1364
漏洞检测 访问url:http://xxx.xxx.xxx/console/css/%252e%252e/consolejndi.portal 如果出现未授权访问则一般可以直接打了,由于这个漏洞的利用过程就需要目标服务器访问自己vps上的服务,所以只要能利用那目标肯定是要能出网的,那就是CS的战场了 漏洞复现 网上很多,我简单过一遍 在vps上开启服务: java -jar JNDIExploit-v1.11.jar -i [vps_ip] JNDIExploit-v1.11.jar文件见附件 修改一下ip
jackson-rce-via-two-new-gadgets:两种不同的小工具绕过jackson-databind中的RCE黑名单
05-14
杰克逊探险家 这是PoC,具有两个不同的小工具,可重现 ,可用于利用的默认类型。 语境 Jackson-databind允许开发人员在将json解组到Java Object时使用默认类型来处理多态字段。 当开发人员通过调用ObjectMapper.enableDefaultTyping()方法打开此功能时,如果输入由攻击者控制,则可能很危险。 Jackson-databind具有黑名单机制,可以避免对某些危险的类进行编组。 这些类称为小工具。 现在在该项目中,您将看到如何使用两个不同的小工具绕过该黑名单并成功利用RCE漏洞。 MITER为此问题分配了CVE-2018-5968。 受影响的版本 从2.8.11和2.9.x到2.9.3 减轻 此问题已在2.9.4中修复。 因此,只需更新到最新版本的jackson-databind即可避免潜在的风险。 参考
Java 中的序列化安全漏洞梳理
HongYu012的博客
03-30 2977
背景 现阶段公司会进行季度的安全巡检,扫描出来的 Java 相关漏洞,无论是远程代码执行、还是 JNDI 注入,基本都和 Java 的序列化机制有关。本文简单梳理了一下序列化机制相关知识,解释为什么这么多漏洞都和 Java 的序列化有关,以及后续怎么避免这些安全漏洞,减少版本升级工作量。同时能基于本文的知识,在看到序列化漏洞后,简单评估该漏洞对自身应用的影响 为什么需要序列化 序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。 序列化的使用场景很
SSRF 服务端请求伪造, 简介,SSRF实验, 漏洞探测, 绕过技巧, SSRF防御
探测???
11-07 598
SSRF服务器端请求伪造)是一种恶意网络行为,攻击者可以利用这种漏洞发送来自服务器的请求,以访问或操作服务器通常无法访问的内部资源。SSRF通常存在于应用程序中,该应用程序接受用户提供的URL,并基于该URL发出服务器端的HTTP请求。http可以访问其他内网IP的服务器,也可以做任意URL跳转nttp://examplesite/ssrf.php?
(个人)最近项目开发后存在的系统漏洞整理
天弃的博客
04-19 1048
操作系统 主机标签 漏洞名称 漏洞类型 威胁等级 说明 最后检测时间 状态 漏洞描述 修复方案 参考链接 披露时间 CVE编号 CVSS评分 linux64_Linux.x86_64 Spring 框架反射型文件下载漏洞 (CVE-2020-5421) 应用漏洞 高危 路径:/home/apache-tomcat-8.0.45/webapps/api/WEB-INF/lib/spring-cor
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2166
JACKSON反序列化原理
jackson反序列化漏洞
l_l_c_q的博客
08-10 1723
jackson反序列化漏洞及POC
Java Web 安全】jackson漏洞探究、利用、预防
qqchaozai的专栏
08-15 5242
前言 阿里云安全公告:2019年7月31日,阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值