CVE-2021-26919是一个jdbc 反序列化类型漏洞,用作之前两篇jdbc mysql学习的练手,分析分析。
已知是jdbc mysql反序列化的问题,可以直接看看官方的修复
https://github.com/apache/druid/compare/druid-0.20.1...druid-0.20.2
具体在这个commit里
https://github.com/apache/druid/commit/48953e3508967f5156c69676432b5d4dd25ea678
代码就不贴了,主要功能是设置了jdbc:mysql & jdbc:postgresql两类driver和对应的参数白名单
more >>参考【1】中四哥已经讲的很全面也很详细了,简单记录下复现过程吧
如解释,mysql client会自动反序列化server端传回的BLOB类型
more >>之前Get了h2 initsql的骚姿势,于是想总结总结jdbc url可控情况下的利用方法,经典的场景就是jdbc mysql 文件读取和反序列化,正好前不久的Druid CVE-2021-26919的用的就是jdbc mysql反序列化漏洞,学习学习,居然踩一些坑,单独记录下来。
mysql client任意文件读取漏洞历史悠久,参考【6】中有提到早在13年就有提出,但是作为mysql 正常功能一直保留。直到19年blackhat 张杨和可奕 大佬发现反序列化的利用场景(参考【5】),相关研究达到小高潮,不过多赘述。
正常的load local data流程
1 | client:申请跑个sql,内容是"load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';" |
攻击流程
1 | client:申请跑个sql,内容是"***"(jdbc-mysql-connector默认认证登录完成之后,会有show variables/select 参数等行为) |
Day1发现有分析 jackson 的DriverAdapterCPDS 这个gadget
其实是参考【1】大佬上报的CVE-2020-36179
Gadget:
1 | DriverAdapterCPDS |
Litch1大佬的这个洞有意思,终于有时间分析下,记录下分析过程
https://archive.apache.org/dist/druid/
1 | $wget https://archive.apache.org/dist/druid/0.20.0/apache-druid-0.20.0-bin.tar.gz && tar -xzvf apache-druid-0.20.0-bin.tar.gz |
根据参考,修改conf/druid/single-server/micro-quickstart/coordinator-overlord/jvm.config,末尾增加调试参数
1 | -Xdebug -Xnoagent -Djava.compiler=NONE -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=5005 |
缺失模块。
1、请确保node版本大于6.2
2、在博客根目录(注意不是yilia根目录)执行以下命令:
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置:
jsonContent:
meta: false
pages: false
posts:
title: true
date: true
path: true
text: false
raw: false
content: false
slug: false
updated: false
comments: false
link: false
permalink: false
excerpt: false
categories: false
tags: true