0x00 漏洞概述

FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库，可将Java对象转换成json对象和xml文档，同样也可将json对象转换成Java对象。

此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。

0x01 环境搭建

搭建一个web服务器，我们采用python3

 

在web服务器目录放上已经编译好的恶意类

 

恶意文件内容为:

 

启动ldap服务 这边使用的是marshalsec:

 

建立一个java项目，导入存在漏洞版本的jar包

 

0x02 漏洞复现

执行POC:

 

弹出计算器：

 

再看看我们的服务器: