Jackson CVE-2018-19361 反序列化漏洞

已于 2023-10-22 11:22:26 修改
阅读量613 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Java代码审计 文章标签: apache java 开发语言
于 2023-03-10 13:03:10 首次发布
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/129440451
文章介绍了OpenJPA在特定版本下的两个黑名单类,涉及可能的安全风险,如通过JNDIlookup的调用。Jackson库的反序列化漏洞被提及,强调了其在数据转换中的重要性。同时,提到了CVE-2018-19361,这是一个OpenBSD操作系统中的认证系统漏洞,允许攻击者绕过权限获取系统访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

可以先看:

或者直接看总结也可以:

涉及版本:<2.98

OpenJPA 是 Apache 组织提供的开源项目,它实现了 EJB 3.0 中的 JPA 标准,为开发者提供功能强大、使用简单的持久化数据管理框架。(百度百科)

0x01 调用链

同样还是通过ChatGPT,自己查又要一些时间:openjpa-all-x.jar
在这里插入图片描述
黑名单有两条:

org.apache.openjpa.ee.RegistryManagedRuntime

org.apache.openjpa.ee.JNDIManagedRuntime

1.org.apache.openjpa.ee.RegistryManagedRuntime

首先来看第一条,在这个方法:getTransactionManager,可以看到调用InitialContext.lookup

在这里插入图片描述_registryName这个参数,通过setRegistryName进行赋值:

在这里插入图片描述

2.org.apache.openjpa.ee.JNDIManagedRuntime

同样的也是找到ctx.lookup
在这里插入图片描述
这种星火应该是随便扫的。晚点附上扫描图,并且希望星火支持直接反编译jar包是最好的。

0x02 黑名单

在这里插入图片描述
无趣,以上。

补充知识

Jackson

Jackson是一个基于Java语言的开源库,提供了一系列处理JSON格式数据的工具方法。它可以将Java对象转换成JSON格式,也可以将JSON格式的数据转换成Java对象。Jackson的主要优点包括模块化、高性能、易扩展、简单易用等。

Jackson提供了三个主要的API:

  1. Streaming API:使用流式的方式读写JSON数据,适用于大型JSON数据的处理。

  2. Tree Model API:将JSON数据解析为树型结构,适用于小型JSON数据的处理。

  3. Data Binding API:通过Java对象和JSON数据的相互转换,支持对象继承、多态等高级特性。

Jackson还提供了多种插件和扩展,例如支持XML格式数据的jackson-dataformat-xml插件,支持协议缓存的jackson-module-afterburner扩展等。

OpenJPA

OpenJPA是一个Java持久化框架,可以将Java对象映射到关系型数据库中。它实现了Java持久化规范(Java Persistence API),并提供了许多扩展功能。

OpenJPA支持多种ORM映射策略,包括注释(annotation)、XML和Java类。它还提供了充分的缓存机制,以提高应用程序的性能。

OpenJPA还提供了一些高级功能,如动态查询、透明的数据加密、分布式缓存等等。同时,它还支持与其他开源组件的集成,如Spring和Tomcat等。

总之,OpenJPA是一个成熟的Java持久化框架,有助于简化数据访问层的编写,提高开发效率和应用程序的性能。OpenJPA是一个Java持久化框架,可以将Java对象映射到关系型数据库中。它实现了Java持久化规范(Java Persistence API),并提供了许多扩展功能。

OpenJPA支持多种ORM映射策略,包括注释(annotation)、XML和Java类。它还提供了充分的缓存机制,以提高应用程序的性能。

OpenJPA还提供了一些高级功能,如动态查询、透明的数据加密、分布式缓存等等。同时,它还支持与其他开源组件的集成,如Spring和Tomcat等。

总之,OpenJPA是一个成熟的Java持久化框架,有助于简化数据访问层的编写,提高开发效率和应用程序的性能。

CVE-2018-19361

CVE-2018-19361 is a vulnerability in the OpenBSD operating system’s authentication system, specifically in the way it handles certain password hashing algorithms. The vulnerability allows an attacker to bypass the authentication process and gain access to the system as a privileged user. It was discovered in October 2018 and was patched in OpenBSD version 6.4. Users of earlier versions of OpenBSD are advised to update their systems as soon as possible to prevent exploitation of this vulnerability.CVE-2018-19361 is a vulnerability in the OpenBSD operating system’s authentication system, specifically in the way it handles certain password hashing algorithms. The vulnerability allows an attacker to bypass the authentication process and gain access to the system as a privileged user. It was discovered in October 2018 and was patched in OpenBSD version 6.4. Users of earlier versions of OpenBSD are advised to update their systems as soon as possible to prevent exploitation of this vulnerability.

Jackson 反序列化漏洞
blackmagic的博客
08-07 2630
CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
反序列化漏洞_Jackson反序列化漏洞
weixin_39839726的博客
12-14 1158
Author:平安银行应用安全团队@Glassy引言今天又看到有一些安全预警平台爆出的Jackson反序列漏洞,要求把Jackson升级到2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出poc。补丁分析补丁特别简单,也如同漏洞公告一样,增加了几处黑名单。POC构造br.com.anteros.dbcp.AnterosDBCPDataSource先看一下该jar包的mav...
Jackson 安全总结
王嘟嘟的博客
03-02 1097
同Fastjson一样,建一个专门用来总结Jackson的篇章。
关于 Jackson 新的反序列化漏洞,从零基础到精通,收藏这篇就够了!
最新发布
QIANDXX的博客
05-23 1171
不必惊慌,pig4cloud[1] 默认没开启动态类型,并且 spring cache[2] 没有使用 jackson 序列化。如果你的 redis 采用的 jackson 序列化,并且是注入的全局的 ObjectMapper 请注意,请采用类似 mica-redis[3] 这样的 copy,来避免对全局的 ObjectMapper 污染导致不安全。后面我们会翻译两篇 Jackson 作者文章,让大家深入了解一下 Jackson 动态类型和安全机制。
jackson反序列化漏洞
l_l_c_q的博客
08-10 2047
jackson反序列化漏洞及POC
Jackson CVE-2017-7525 反序列化漏洞
王嘟嘟的博客
03-01 1144
Jackson 相对应fastjson来说利用方面要求更加苛刻,默认情况下无法进行利用。
Jackson反序列化代码执行漏洞
I want to know a little more.
06-09 2493
在我们的一次研究过程中,我们分析了一个使用Jackson库对JSON进行反序列化的应用程序。在分析过程中,我们寻找到一个反序列化漏洞,并可以对反序列化的类进行控制。在本文中,我们将向读者展示攻击者如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)和远程代码执行等攻击。 该研究催生了新的CVE-2019-12384生成,并影响到了一系列RedHat产品: 漏洞攻击条件 正如Jackson在On Jackson CVEs中写到的那样:下面是利用工具需要的要求: (1)应用程序接受由不受信任的客
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)
qq_62987084的博客
10-16 1312
带你了解 Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)
漏洞复现—Jenkins反序列化漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_45556536的博客
11-17 882
Jenkins反序列化漏洞利用CVE-2017-1000353基础知识漏洞原理影响版本复现思路复现—CVE-2018-10008611、特征检测 基础知识   序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。   形成漏洞的根源在于类ObjectInputStream在反序列
Jackson-databind 反序列化漏洞CVE-2017-17485)
玄道的网安博客
06-17 2080
漏洞搭建 cd /root/vulhub/jackson/CVE-2017-7525 docker-compose up -d 漏洞原理 利用 FileSystemXmlApplicationContext加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件中使用 Spring EL 来调用 start()方法实现命令执行 CVE-2017-7525 黑名单修复绕过,利用了 org.springframework.context.suppor...
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 3675
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
jackson反序列化漏洞分析
m0_38043244的博客
06-01 5941
jackson反序列化漏洞分析
Windows和Linux系统查看端口和文件占用
A1_3_9_7的博客
03-21 852
在Windows环境中要知道当前端口被哪个进程所占用,或者是查看当前系统网络的会话连接,操作如下:(1)、查看端口被那个进程ID(PID)所占用查看指定端口,使用命令:netstat -ano | findstr “445”上边这个445端口当前正在监听0.0.0.0地址,可以看到占用进程PID为4findstr更多用法可以通过findstr /?查看(2)、通过PID查看进程上边已知进程PID为4,使用命令:tasklist | findstr "4"查找进程。
java jackson漏洞_小白审计JACKSON反序列化漏洞
weixin_29100399的博客
02-16 1958
1. JACKSON漏洞解析poc代码:main.javaimportcom.fasterxml.jackson.databind.ObjectMapper;importcom.sun.org.apache.xerces.internal.impl.dv.util.Base64;importorg.springframework.util.FileCopyUtils;importjava.io.B...
Jackson-databind 反序列化漏洞CVE-2020-36179 ~ CVE-2020-36189)
weixin_45626288的博客
12-01 4451
2021年1月7日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在多个反序列化远程代码执行漏洞CVE-2020-36179 ~ CVE-2020-36189),利用该漏洞,攻击者可远程执行代码,控制服务器。 2020年12月17日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞CVE-2020-35490/CVE-2020-35491).
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 3515
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
Jackson CVE-2017-17485 反序列化漏洞
王嘟嘟的博客
03-04 1745
CVE-2017-15095一样,是CVE-2017-7525黑名单绕过的漏洞,主要还是看一下绕过的调用链利用方式。涉及版本:2.8.10和2.9.x至2.9.3。
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值