0x00:前言
近期关于Jackson的RCE漏洞CVE-2019-12384爆出,漏洞的复现以及依赖,这里已经给出,我这里就使用虚拟机里的java的环境重新复现了一下,权当向各位大佬学习。
依赖:
https://blog.doyensec.com/2019/07/22/jackson-gadgets.html
Jackson安装教程:
https://www.sxt.cn/jackson/jackson_environment.html
0x01:环境准备
jackson自身的jar包以外还需要logback-core和h2,具体的pom配置如下:
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.9.8</version>
</dependency>
<!--https://mvnrepository.com/artifact/ch.qos.logback/logback-core -->
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-core</artifactId>
<version>1.3.0-alpha4</version>
</dependency>
<!--https://mvnrepository.com/artifact/com.h2database/h2 -->
<dependency>
<groupId>com.h2database</groupId>
<artifactId>h2</artifactId>
<version>1.4.199</version>
<scope>test</scope>
</dependency>
<dependency>
<groupId>com.h2database</groupId>
<artifactId>h2</artifactId>
<version>1.4.199</version>
<scope>compile</scope>
</dependency>
0x02:漏洞复现
这里用JAVA复现,具体看代码注释。
使用第一个payload实现SSRF的效果图。
使用第二个payload实现RCE的效果图。
0x03:总结
1、这个漏洞的利用有两个特别鸡肋的点: 第一点, 它需要依赖两个jar才能造成rce漏洞; 第二点, 注意这个漏洞的触发,是在序列化恶意的对象的时候触发的,而jackjson大部分情况在web中都是用于处理去反序列化前端传入的json数据的。 2、相同的套路在fastjson也是可以造成RCE的,但是利用同样鸡肋。
原文来自:
https://www.freebuf.com/vuls/209394.html