安研 - Java - Jackson反序列化漏洞 - 调试分析

时间：2020-05-06 01:08:15 阅读：104 评论：0 收藏：0 [点我收藏+]

一、Jackson的基本用法

import com.fasterxml.jackson.databind.ObjectMapper;

import java.io.IOException;

public class Hello {

    public static void main(String args[]) throws IOException {
        Person p = new Person();
        p.age = 1;
        p.name = "Econ";

        ObjectMapper mapper = new ObjectMapper();
        String json = mapper.writeValueAsString(p);
        System.out.println(json);
//        {"age":1,"name":"Econ"}
        Person p2 = mapper.readValue(json, Person.class);
        System.out.println(p2);
//        Person.age=1, Person.name=Econ
    }
}

class Person {
    public int age;
    public String name;

    @Override
    public String toString() {
        return String.format("Person.age=%d, Person.name=%s", age, name);
    }
}

二、基于DefaultTyping的序列化与反序列化

属性：

JAVA_LANG_OBJECT
OBJECT_AND_NON_CONCRETE
NON_CONCRETE_AND_ARRAYS
NON_FINAL

序列化：

import com.fasterxml.jackson.databind.ObjectMapper;

import java.io.IOException;

public class Hello {

    public static void main(String args[]) throws IOException {
        Person p = new Person();
        p.age = 1;
        p.name = "Econ";
        p.object = new Dna();

        ObjectMapper mapper = new ObjectMapper();
        mapper.enableDefaultTyping(ObjectMapper.DefaultTyping.JAVA_LANG_OBJECT);
        String json = mapper.writeValueAsString(p);
        System.out.println(json);
//        {"age":1,"name":"Econ","object":["Dna",{"length":1}]}
        Person p2 = mapper.readValue(json, Person.class);
        System.out.println(p2);
//        Person.age=1, Person.name=Econ
    }
}

class Person {
    public int age;
    public String name;
    public Object object;

    @Override
    public String toString() {

        return String.format("Person.age=%d, Person.name=%s", age, name, object == null ? "null" : object);
    }
}

class Dna {
    public int length = 1;
        }

反序列化：

import com.fasterxml.jackson.databind.ObjectMapper;

import java.io.IOException;

public class Hello {

    public static void main(String args[]) throws IOException {
        Jacksonunserialize();

    }

    public static void Jacksonunserialize() throws IOException {
        String json = "{\"age\":1, \"name\":\"econ\"}";
        ObjectMapper mapper = new ObjectMapper();
        mapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_CONCRETE_AND_ARRAYS);
        Person person = mapper.readValue(json, Person.class);
        System.out.println(person);
        //  Person.age=1, Person.name=econ
    }
}

class Person {
    public int age;
    public String name;

    @Override
    public String toString() {

        return String.format("Person.age=%d, Person.name=%s", age, name);
    }
}

反序列化调用栈分析

1.NativeConstructorAccessorImpl (sun.reflect)

2.DelegatingConstructorAccessorImpl (sun.reflect)

3.Constructor (java.lang.reflect)

4.AnnotatedConstructor (com.fasterxml.jackson.databind.introspect)

5.createUsingDefault, StdValueInstantiator (com.fasterxml.jackson.databind.deser.std)

6.vanillaDeserialize, BeanDeserializer (com.fasterxml.jackson.databind.deser)

7.BeanDeserializer(com.fasterxml.jackson.databind.deser)

8.AsArrayTypeDeserializer (com.fasterxml.jackson.databind.jsontype.impl)

9.deserializeTypedFromObject, AsArrayTypeDeserializer (com.fasterxml.jackson.databind.jsontype.impl)

10.deserializeWithType, BeanDeserializerBase (com.fasterxml.jackson.databind.deser)

11.deserialize,TypeWrappedDeserializer (com.fasterxml.jackson.databind.deser.impl)

12._readMapAndClose, ObjectMapper (com.fasterxml.jackson.databind)

13.readValue, ObjectMapper (com.fasterxml.jackson.databind)

技术分享图片

gadget类构造

class Dna {
    String cmd;

    Dna() {
        System.out.println("Dna.init()");
    }

    public void setCmd(String cmd) throws IOException {
        this.cmd = "calc.exe";
        System.out.println(String.format("Dna.setCmd(%s)", cmd));
        Runtime.getRuntime().exec(cmd);
    }
}

三、基于JsonTypeInfo的序列化与反序列化

安研 - Java - Jackson反序列化漏洞 - 调试分析

原文：https://www.cnblogs.com/AtesetEnginner/p/12833657.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)