FasterXMLjackson-databind远程代码执⾏漏洞(CVE-2020-
88。。。
漏洞概述
FFasterXML/jackson-databind是⼀个⽤于JSON和对象转换的Java第三⽅库,可将Java对象转换成json对象和xml⽂档,同样也可将json对象转换成Java对象。
cve漏洞库此次漏洞中攻击者可利⽤xbean-reflect的利⽤链触发JNDI远程类加载从⽽达到远程代码执⾏。
影响版本
2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2
环境搭建
项⽬地址:
github/fairyming/CVE-2020-8840
搭建⼀个web服务器,我们采⽤python3
py -3 -m http.server 8080
编译并放置web服务器⽬录上
恶意⽂件内容为:
public class Exploit {
public Exploit(){
try{
}catch(Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Exploit e = new Exploit();
}
}
启动ldap服务 我这⾥使⽤的是marshalsec:
建⽴⼀个java项⽬,导⼊存在漏洞版本的jar包
漏洞复现
执⾏POC
弹出计算器
再看看我们的ldap服务
修复建议
官⽅已经发布部分新版本修复了该漏洞
git下载地址:
github/FasterXML/jackson-databind/releases

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。