Java JDBC導致的反序列化攻擊原理解析
這篇文章主要介紹了Java JDBC導致的反序列化攻擊原理解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
背景
上週BlackHat Europe 2019的議題《New Exploit Technique In Java Deserialization Attack》中提到了一個通過注入JDBC URL實現反序列化攻擊的場景,簡單分析一下。
分析
首先,當java應用使用MySQL Connector/J(官方的JDBC驅動,本文基於其8.0+版本)連線mysql時,JDBC URL的格式如下:protocol//[hosts]/[database]?properties,具體可看mysql官方文件,示例:jdbc:mysql://localhost:3306/test?useSSL=true
其中,protocol、host、database都比較好理解,URL中的properties可以設定MySQL Connector/J連線mysql伺服器的具體方式,關於properties的官方文件地址,其中和本文相關的連線屬性有兩個,分別是autoDeserialize和queryInterceptors,前者是設定MySQL Connector/J是否反序列化BLOB型別的資料,後者是攔截器,在查詢執行時觸發,由com.mysql.cj.protocol.a.NativeProtocol#sendQueryPacket方法原始碼可知,會在執行查詢語句前後分別呼叫攔截器的preProcess和postProcess方法。
接下來定位下反序列化的觸發點,在mysql-connector-java元件下全域性搜尋關鍵字“.readObject()”,定位到com.mysql.cj.jdbc.result.ResultSetImpl類中的getObject(int columnIndex)方法,部分核心程式碼如下:
public Object getObject(int columnIndex) throws SQLException {
……
case BLOB:
byte[] data = getBytes(columnIndex);
if (this.connection.getPropertySet().getBooleanProperty(PropertyDefinitions.PNAME_autoDeserialize).getValue()) {
Object obj = data;
// Serialized object?
try {
ByteArrayInputStream bytesIn = new ByteArrayInputStream(data);
ObjectInputStream objIn = new ObjectInputStream(bytesIn);
obj = objIn.readObject();
}
}
}變數data即為mysql返回結果集,當JDBC URL中設定屬性autoDeserialize為true時,會對型別為bit、binary以及blob的資料進行反序列化,如何觸發getObject(int columnIndex)方法的呼叫呢?議題中給出的呼叫鏈如下:
> com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor#preProcess/postProcess > com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor#populateMapWithSessionStatusValues > com.mysql.cj.jdbc.util.ResultSetUtil#resultSetToMap > com.mysql.cj.jdbc.result.ResultSetImpl#getObject
ServerStatusDiffInterceptor即為此前提到過的攔截器,在JDBC URL中設定屬性queryInterceptors為ServerStatusDiffInterceptor時,執行查詢語句會呼叫攔截器的preProcess和postProcess方法,進而通過上述呼叫鏈最終呼叫getObject(int columnIndex)方法。
實際利用還有一個問題,最終呼叫getObject方法的物件是資料庫返回的結果集,由populateMapWithSessionStatusValues方法可知:
try {
toPopulate.clear();
stmt = this.connection.createStatement();
rs = stmt.executeQuery("SHOW SESSION STATUS");
ResultSetUtil.resultSetToMap(toPopulate,rs);
}
這個結果集是執行SQL語句“SHOW SESSION STATUS”後資料庫返回的值,SQL語句“SHOW SESSION STATUS”返回當前資料庫連線的狀態值,實際是讀取系統表INFORMATION_SCHEMA.SESSION_VARIABLES的值,也可能是PERFORMANCE_SCHEMA.SESSION_VARIABLES(Mysql版本差異導致)。但是mysql中INFORMATION_SCHEMA和PERFORMANCE_SCHEMA都是不允許被修改的,所以需要想辦法操縱返回的資料。
利用條件
1.本質上還是Java原生的反序列化利用,所以需要環境中有可用的Gadget;
2.需要能偽造相關係統表的資料,將“SHOW SESSION STATUS”的執行結果設定為我們精心構造的反序列化資料,或者基於mysql連線協議,自定義返回資料,後面有時間的時候會寫寫這塊兒。
3.可控的JDBC URL
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支援我們。