0x00 前言

同CVE-2017-15095一样，是CVE-2017-7525黑名单绕过的漏洞，主要还是看一下绕过的调用链利用方式。

可以先看：

• Jackson 反序列化漏洞原理

或者直接看总结也可以：

• Jackson总结

影响版本：至2.8.11和2.9.x至2.9.3

0x01 调用链

首先看一下2.9.4的黑名单更新：

1.org.apache.ibatis.datasource.jndi.JndiDataSourceFactory

首先来看 org.apache.ibatis.datasource.jndi.JndiDataSourceFactory 调用链过程

pom 导入刷一下就行

        <dependency><groupId>org.apache.ibatis</groupId><artifactId>ibatis-core</artifactId><version>3.0</version></dependency>

这里可以看到其实是很清晰的，通过setProperties就可以去调用lookup，没啥技巧可言

使用扫描器扫描一下，轻松就可以扫描的到

2. org.hibernate.jmx.StatisticsService

还有一个调用链是这个,环境用的hibernate-core-3.6.10.Final.jar，在这里下载吧，https://repo.maven.apache.org/maven2/org/hibernate/hibernate-core/3.6.10.Final/

工具扫一下：

以上