Jdbc碎碎念三:内存数据库

继续讨论讨论在jdbc url可控情况下,有哪下攻击手法?

  1. 攻击client思路,典型的就是mysql client,前面讲过
  2. 攻击server思路,内存数据库就是当前server,发现相关介绍文章都比较散,这里尝试探索总结下,看看能不能发现新的姿势

攻击内存数据库Server

H2

pom依赖

1
2
3
4
5
<dependency>
  <groupId>com.h2database</groupId>
  <artifactId>h2</artifactId>
  <version>1.4.199</version>
</dependency>
more >>

Apache Druid CVE-2021-26919 漏洞分析

CVE-2021-26919是一个jdbc 反序列化类型漏洞,用作之前两篇jdbc mysql学习的练手,分析分析。

背景

已知是jdbc mysql反序列化的问题,可以直接看看官方的修复

https://github.com/apache/druid/compare/druid-0.20.1...druid-0.20.2
upload successful

具体在这个commit里
https://github.com/apache/druid/commit/48953e3508967f5156c69676432b5d4dd25ea678

代码就不贴了,主要功能是设置了jdbc:mysql & jdbc:postgresql两类driver和对应的参数白名单

more >>

Jdbc 碎碎念一:MySQL Client文件读取

之前Get了h2 initsql的骚姿势,于是想总结总结jdbc url可控情况下的利用方法,经典的场景就是jdbc mysql 文件读取和反序列化,正好前不久的Druid CVE-2021-26919的用的就是jdbc mysql反序列化漏洞,学习学习,居然踩一些坑,单独记录下来。

mysql client任意文件读取漏洞历史悠久,参考【6】中有提到早在13年就有提出,但是作为mysql 正常功能一直保留。直到19年blackhat 张杨和可奕 大佬发现反序列化的利用场景(参考【5】),相关研究达到小高潮,不过多赘述。

MySQL Client文件读取漏洞

原理:load local data

正常的load local data流程

1
2
3
client:申请跑个sql,内容是"load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';"
server:好的,(识别sql内容),那你把/etc/passwd文件读取传过来吧
client:好的,(读取本地/etc/passwd),这是文件内容,请查收

攻击流程

1
2
3
client:申请跑个sql,内容是"***"(jdbc-mysql-connector默认认证登录完成之后,会有show variables/select 参数等行为)
server:好的,(不管sql内容),那你把/etc/passwd文件读取传过来吧
client:好的,(读取本地/etc/passwd),这是文件内容,请查收
more >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true