Jackson CVE-2018-5968 反序列化漏洞
0x00 前言
同CVE-2017-15095一样,是CVE-2017-7525黑名单绕过的漏洞,主要还是看一下绕过的调用链利用方式。
可以先看:
- Jackson 反序列化漏洞原理
或者直接看总结也可以:
- Jackson总结
影响版本:至2.8.11和2.9.x至2.9.3
0x01 调用链
首先看一下2.9.4的黑名单更新:
1.org.apache.ibatis.datasource.jndi.JndiDataSourceFactory
首先来看 org.apache.ibatis.datasource.jndi.JndiDataSourceFactory 调用链过程
pom 导入刷一下就行
<dependency><groupId>org.apache.ibatis</groupId><artifactId>ibatis-core</artifactId><version>3.0</version></dependency>
这里可以看到其实是很清晰的,通过setProperties就可以去调用lookup,没啥技巧可言
使用扫描器扫描一下,轻松就可以扫描的到
2. org.hibernate.jmx.StatisticsService
还有一个调用链是这个,环境用的hibernate-core-3.6.10.Final.jar,在这里下载吧,https://repo.maven.apache.org/maven2/org/hibernate/hibernate-core/3.6.10.Final/
工具扫一下:
以上