文章来源：https://mp.weixin.qq.com/s/NkUzhKh1TUO57gA2SUJPvg

作者：凉小尘

上周升级完Fastjson之后，准备去了解下Jackson是否也有相关的漏洞。

果不其然，看到了一个issue

虽然这个issue是好几个月前的了，但是可能大家对Jackson比较不在意，以为国外的开源要牛逼一点，不会像Fastjson那么多问题，这里要纠正一点，fastjson之所以问题多，那是因为你接触的多，Jackson的问题其实也不少，只是你接触的少。

就拿这种issue的问题来说，这个漏洞也很严重，攻击者可以通过构造特殊的字符串，然后在特定条件下可以悄无声息的窃取你服务器上的文件数据。

可怕不？但是恐怕知道的人不多，很多服务还是依赖着低版本的Jackson，也没升级。

解释下到底是什么漏洞，这么危险！

如果服务中依赖了 Jackson 2.9.9 之前的版本，且同时依赖了mysql-connector-java，那么这个服务所在机器上的文件，就可能被任意窃取。

下面是具体原理分析。

先看下Json序列化对多态性的处理方式

序列化之后

序列化后类型消失，反序列化时因为Pet是抽象类，不知道该创建哪一个子类的对象。

但是Jackson提供了Default Typing，在开启的时候，可以序列化出更具体的类型。

得到的结果：

所以，Jackson在开启Default Typing特性之后，就可以初始化一个具体的实例。

这个讲完之后，我们看下漏洞的终元凶，MySQL的一个特殊用法：支持使用LOAD DATA LOCAL INFILE这样的语法，只要客户端连上某个MySQL服务，就可以把客户端本地文件的数据插入到这个MySQL的某个表中。

大概过程是这样的：

用户在客户端输入：load data local infile "/data.csv" into table test;

客户端=>服务端：我想把我本地的/data.csv文件插入到test表中;

服务端=>客户端：把你本地的/data.csv发给我；

客户端=>服务端：/data.csv文件的内容；

这里有一个问题，客户端发送哪个文件的内容，取决于第3步，如果服务端是个恶意的MySQL服务，那么他可以读取客户端的任意文件，比如读取/etc/passwd：

用户在客户端输入：load data local infile "/data.csv" into table test;

客户端=>服务端：我想把我本地的/data.csv文件插入到test表中;

服务端=>客户端：把你本地的/etc/passwd发给我；

客户端=>服务端：/etc/passwd文件的内容；

然后密码文件的内容就这样被嫖了。

引用MySQL官方文档如下：

In theory, a patched server could be built that would tell the client program to transfer a file of the server's choosing rather than the file named by the client in the LOAD DATA statement.

理论上，可以构建一个伪装服务器，它将告诉客户端传送一个服务指定的而不是通过客户端LOAD DATA语句指定的文件，意味着，我要什么，你就得给我什么，所以所有文件都可能泄露。

具体如何让服务中的MySQL客户端可以听我指挥，连到我预谋已久的MySQL服务呢？

首先，在MySQL的JDBC驱动中有一个创建连接的配置 allowLoadLocalInfile，控制是否可以从本地读取文件，默认是可以的。

另外，不知道从哪个版本开始，MySQL的JDBC驱动多了一个类 com.mysql.cj.jdbc.admin.MiniAdmin，可能没什么人用过，平时也用不到，但是它的牛逼之处在于可以创建一个到执行URL的JDBC连接。

想想，如果这个URL是我的那个伪装的MySQL服务，是不是就可以控制这个客户端轻松练上来，然后做一些不为人知的事情了。

事实上，确实可以。通过Jackson的反序列化特殊字符串，可以触发MiniAdmin的初始化，然后就在构造方法里创建一个到指定我MySQL服务的JDBC连接。

我们动手创建一个恶意的MySQL服务，可以使用 https://github.com/Gifts/Rogue-MySql-Server，这个服务会读取客户端文件，并写入到mysql.log中。

启动服务，假设服务地址为：X.X.X.X.

端口号和文件号在Rogue-MySql-Server中定好了，在客户端中执行如上代码，机器上的c:\windows\win.ini文件内容就会出现在mysql.log中。

在实际的生产环境中，可以通过往一些接受JSON参数的接口发送恶意的JSON字符串来达成攻击的目的。

在MySQL方面，从8.0.15开始已经将allowLoadLocalInfile默认值设置为false。

在Jackson方面，从2.9.9版本开始，将 com.mysql.cj.jdbc.admin.MiniAdmin加入反序列化黑名单

怎么保护自己的系统

1、反序列化的坑，很大！需要尽量避免使用Object对象作为Jackson反序列化的目标。

2、序列化工具，该升级的要升级，不能拖！