這篇文章主要介紹了Java JDBC導(dǎo)致的反序列化攻擊原理解析,文中通過示例代碼介紹的非常詳細(xì)�,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下
創(chuàng)新互聯(lián)主營北辰網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,成都APP應(yīng)用開發(fā),北辰h5重慶小程序開發(fā)搭建,北辰網(wǎng)站營銷推廣歡迎北辰等地區(qū)企業(yè)咨詢
背景
上周BlackHat Europe 2019的議題《New Exploit Technique In Java Deserialization Attack》中提到了一個通過注入JDBC URL實現(xiàn)反序列化攻擊的場景,簡單分析一下��。
分析
首先,當(dāng)java應(yīng)用使用MySQL Connector/J(官方的JDBC驅(qū)動�����,本文基于其8.0+版本)連接mysql時,JDBC URL的格式如下:protocol//[hosts]/[database]?properties�����,具體可看mysql官方文檔�,示例:jdbc:mysql://localhost:3306/test?useSSL=true
其中,protocol�、host、database都比較好理解�,URL中的properties可以設(shè)定MySQL Connector/J連接mysql服務(wù)器的具體方式,關(guān)于properties的官方文檔地址�����,其中和本文相關(guān)的連接屬性有兩個����,分別是autoDeserialize和queryInterceptors,前者是設(shè)定MySQL Connector/J是否反序列化BLOB類型的數(shù)據(jù)���,后者是攔截器�,在查詢執(zhí)行時觸發(fā)���,由com.mysql.cj.protocol.a.NativeProtocol#sendQueryPacket方法源碼可知��,會在執(zhí)行查詢語句前后分別調(diào)用攔截器的preProcess和postProcess方法����。
接下來定位下反序列化的觸發(fā)點����,在mysql-connector-java組件下全局搜索關(guān)鍵字“.readObject()”,定位到com.mysql.cj.jdbc.result.ResultSetImpl類中的getObject(int columnIndex)方法��,部分核心代碼如下:
public Object getObject(int columnIndex) throws SQLException {
……
case BLOB:
byte[] data = getBytes(columnIndex);
if (this.connection.getPropertySet().getBooleanProperty(PropertyDefinitions.PNAME_autoDeserialize).getValue()) {
Object obj = data;
// Serialized object?
try {
ByteArrayInputStream bytesIn = new ByteArrayInputStream(data);
ObjectInputStream objIn = new ObjectInputStream(bytesIn);
obj = objIn.readObject();
}
}
}變量data即為mysql返回結(jié)果集�����,當(dāng)JDBC URL中設(shè)定屬性autoDeserialize為true時���,會對類型為bit�����、binary以及blob的數(shù)據(jù)進(jìn)行反序列化����,如何觸發(fā)getObject(int columnIndex)方法的調(diào)用呢?議題中給出的調(diào)用鏈如下:
> com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor#preProcess/postProcess
> com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor#populateMapWithSessionStatusValues
> com.mysql.cj.jdbc.util.ResultSetUtil#resultSetToMap
> com.mysql.cj.jdbc.result.ResultSetImpl#getObject
ServerStatusDiffInterceptor即為此前提到過的攔截器����,在JDBC URL中設(shè)定屬性queryInterceptors為ServerStatusDiffInterceptor時,執(zhí)行查詢語句會調(diào)用攔截器的preProcess和postProcess方法����,進(jìn)而通過上述調(diào)用鏈最終調(diào)用getObject(int columnIndex)方法。
實際利用還有一個問題����,最終調(diào)用getObject方法的對象是數(shù)據(jù)庫返回的結(jié)果集,由populateMapWithSessionStatusValues方法可知:
try {
toPopulate.clear();
stmt = this.connection.createStatement();
rs = stmt.executeQuery("SHOW SESSION STATUS");
ResultSetUtil.resultSetToMap(toPopulate, rs);
}這個結(jié)果集是執(zhí)行SQL語句“SHOW SESSION STATUS”后數(shù)據(jù)庫返回的值�,SQL語句“SHOW SESSION STATUS”返回當(dāng)前數(shù)據(jù)庫連接的狀態(tài)值,實際是讀取系統(tǒng)表INFORMATION_SCHEMA.SESSION_VARIABLES的值���,也可能是PERFORMANCE_SCHEMA.SESSION_VARIABLES(Mysql版本差異導(dǎo)致)�����。但是mysql中INFORMATION_SCHEMA和PERFORMANCE_SCHEMA都是不允許被修改的�����,所以需要想辦法操縱返回的數(shù)據(jù)���。
利用條件
1.本質(zhì)上還是Java原生的反序列化利用�,所以需要環(huán)境中有可用的Gadget�;
2.需要能偽造相關(guān)系統(tǒng)表的數(shù)據(jù),將“SHOW SESSION STATUS”的執(zhí)行結(jié)果設(shè)置為我們精心構(gòu)造的反序列化數(shù)據(jù)���,或者基于mysql連接協(xié)議�����,自定義返回數(shù)據(jù),后面有時間的時候會寫寫這塊兒����。
3.可控的JDBC URL
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助���,也希望大家多多支持創(chuàng)新互聯(lián)���。
網(wǎng)頁名稱:JavaJDBC導(dǎo)致的反序列化攻擊原理解析
網(wǎng)頁網(wǎng)址:
http://weahome.cn/article/jdgohg.html
重慶分公司
重慶分公司
