奇安信攻防社区-CVE-2024-23328 DataEase jdbc反序列化漏洞分析

CVE-2024-23328 DataEase jdbc反序列化漏洞分析

DataEase是一款开源的数据可视化分析工具。DataEase数据源中存在一个反序列化漏洞，可以被利用来执行任意代码。漏洞代码位于`core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java`文件中。可以绕过mysql jdbc攻击的黑名单，攻击者可以进一步利用该漏洞进行反序列化执行或读取任意文件。该漏洞已在1.18.15和2.3.0版本中修复。

漏洞概述：
-----

调试环境搭建
------

去官网或github下载安装包和源代码，然后再linux部署，这里下载的是1.18.14版本的

下载完成后解压，然后编辑`/detaease-vxxx/dataease/docker-compose.yml`,添加调试端口5005

![image-20240326114008102](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-6d322240d9d57cadf590da1d910e38068a16104f.png)

然后运行`/detaease-vxxx/install.sh`等待docker部署完成

docker部署后是有两个容器，进入`detaease`的容器编辑文件`/deployments/run-java.sh` ,添加调试参数

在`debug_options()`中添加：

```php
echo "-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:5005"
```

![image-20240326114520110](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-c1a53e93afd0b016e32e48cf94ae57d366209079.png)

修改完成后使用`docker restart xx`重启该容器即可

除了使用GitHub上的源码调试，还可以用docker里面运行的jar `/opt/apps/backend-1.18.14.jar`

漏洞分析
----

### 补丁分析

首先查看一下漏洞[补丁](https://github.com/dataease/dataease/commit/4128adf5fc4592b55fa1722a53b178967545d46a?diff=unified&amp;w=0)

![image-20240326120015431](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-f728b3e51bed4d8eea8a436d0ea920ae97f4bda5.png)

在补丁中可以看到，修补的方式是添加了一个判断条件， `getExtraParams()` 返回的内容通过URL解码后是否存在于非法参数列表中，即黑名单

说实话，我并没有找到`core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java`这个文件

只找到了`src/main/java/io/dataease/dto/datasource/MysqlConfiguration.java`

![image-20240326145839057](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-dc9f8ebe604cfdc64834e3a798e5dc2b591f0f25.png)

参数黑名单如下：

```java
private List illegalParameters = Arrays.asList("autoDeserialize", "queryInterceptors", "statementInterceptors", "detectCustomCollations", "allowloadlocalinfile", "allowUrlInLocalInfile", "allowLoadLocalInfileInPath");

public List getIllegalParameters(){  
        List newIllegalParameters = new ArrayList&lt;&gt;();  
        newIllegalParameters.addAll(illegalParameters);  
        newIllegalParameters.addAll(Arrays.asList("allowloadlocalinfile", "allowUrlInLocalInfile", "allowLoadLocalInfileInPath"));  
        return newIllegalParameters;  
    }
```

补丁就加了个URL编码解码，说明漏洞利用点在于URL编码绕过了黑名单

### 漏洞验证

根据漏洞所在代码的功能找到对应功能点进行测试

这个是jdbc url的构造，说明这个是用来连接数据库的，在添加数据源的地方可以找到连接数据库的功能

![image-20240326151716540](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-de21fd36a237eec396b6753e7b3141840e3d238f.png)

![image-20240326151841423](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-0e58c398c313a2d13a1c4d90778f0a69cea63e13.png)

这个`额外的JDBC连接字符串`可控，如果不存在黑名单，就大概率存在反序列化漏洞

验证漏洞很简单，将`autoDeserialize=true`编码然后填写到JDBC连接字符串中(等号不编码)，`autoDeserialize`存在于黑名单中：

```php
%61%75%74%6f%44%65%73%65%72%69%61%6c%69%7a%65=%74%72%75%65
```

点击`校验`,发现能够正常的得到连接响应，说明绕过了黑名单。

![image-20240326155216351](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-4be0b8f193d5f5968c0fed6c08c38cc00c475c5e.png)

这个漏洞我没有利用成功，可能是这个版本还太新了，这个版本利用的jdbc版本是8.0.28的，似乎没有反序列化漏洞

![image-20240326155854650](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-63cac467e095ab14d3410e28d22db8ebaf7b6e02.png)

经过一波摸索，发现这个可以自己上传驱动，漏洞实锤了

![image-20240326163607911](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-a9aeedff92340ce483406fba4562b8a29a457c5e.png)

直接使用[工具](https://github.com/4ra1n/mysql-fake-server)就能够利用，读取文件需要添加`allowLoadLocalInfile=true` ,该工具没给出

```php
%61%6c%6c%6f%77%4c%6f%61%64%4c%6f%63%61%6c%49%6e%66%69%6c%65=%74%72%75%65
```

读取/etc/passwd成功

![image-20240326222203194](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-dbc7328575a16e0a331a13c7627d845d997821c4.png)

### 疑问解释

**为什么jdbc连接时正常解析url编码？**

这个需要调试跟踪一下

在构造完jdbc url后在`io.dataease.provider.datasource.JdbcProvider.java`进行连接，跟进connet方法

![image-20240326162154614](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-22f8985379ea9d17358133bf4f9d6ae04ddbc335.png)

来到`com.mysql.cj.jdbc.NonRegisteringDriver`

![image-20240326173635715](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-3100e77c477e94cd570049cb296f9b743a941259.png)

首先来到`accept(url)` 判断这个url是否被允许请求

![image-20240326173756963](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-57655c8e8970c4ec0f26648e8c755c3460c046df.png)

继续跟进

![image-20240326173831509](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-112b7d2a84172f10dc6a2df564c29fa3060156e9.png)

在`isConnectionStringSupported`方法中通过正则匹配出`jdbc:mysql:`

![image-20240326174036065](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-547f39faefaa08e88c54bd8ec3f668e0bcb664ec.png)

跟进`decodeSkippingPlusSign`

![image-20240326174108561](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-5bfa9b9c2372125b42a24beece36bd64839105b8.png)

这里会将+替换成%2B然后进行URLdecode

返回到isConnectionStringSupported

![image-20240326174759809](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-90567f9113e4131784213026c8a5a05e3d6bfa49.png)

跟进isSupported

![image-20240326174955819](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-f76f2f36f206716fbda6a807017ffc764bcc1da8.png)

这个枚举了Scheme,看`jdbc:mysql:`是否存在。

返回到`connect`

![image-20240326175355748](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-f5134458c4a9e1cf1889e57397f7a4f7370eb4ba.png)

跟进`getConnectionUrlInstance`

![image-20240326175520805](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-6cfcda07eaa9bc78e959e362256e75f8f22054b6.png)

这个`buildConnectionStringCacheKey`方法把账号密码添加到了url中

![image-20240326175557785](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-0309482aec846985a6bd9d724bc1ee1d2adbf258.png)

往下，根据返回的connStringCacheKey尝试从缓存中获取connectionUrl 没有缓存就通过parseConnectionString获取ConnectionUrlParser对象

![image-20240326180035844](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-a05d3a2c966dbde40e26697c7782b3b5bbca54fe.png)

跟进`parseConnectionString`,此时的参数是`connString` ,即还没有加上账号密码的那个

![image-20240326180505412](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-81700d220cbeb6728574b79d1f5f841d9cde164e.png)

继续跟进`ConnectionUrlParser()`

![image-20240326180634516](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-de5ae6e2c1bb24c9e7be5068d0e7811e5fa9ba4a.png)

将connString赋值给this.baseConnectionString ，然后调用`this.parseConnectionString()` ,跟进

![image-20240326181048646](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-6b0fb3fc28b76a775300255bc75beb1b65083157.png)

这里对数据库名进行了解码，并且通过正则表达式将URL参数赋值部分取出保存在`this.query`中

返回到`getConnectionUrlInstance`中

刚刚解析得到的connStrParser传入到了`getConnectionUrlInstance`中进行处理

![image-20240326214424293](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-b1cf74bf71dfdc80554230192b3d28fc87b9a6c4.png)

跟进`getConnectionUrlInstance`

![image-20240326215413683](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-ae62bc1fc547d0fdb1caf43dfa4bee67a7accebb.png)

因为info里面只有password和user,没有dnsSrv这个key，所有这里走的是else这个分支

`(parsedProperties = parser.getProperties()).containsKey(dnsSrvPropKey.getKeyName()` ，这个代码是从url参数进行查找`dnsSrv`，这里可能会对参数进行url解码

跟进这个`getProperties()`

![image-20240326215948104](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-474f1360070368fac002de1bb563489d1f39c773.png)

因为this.parsedProperties为null ，进入到`this.parseQuerySection()`中，继续跟进

![image-20240326220250150](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-67dfe387ffd91415aa35d592da18d5b94f27fcc3.png)

这里的`this.query`是上面正则表达式解析出来的URL参数 ，因为不为null 进入到了`processKeyValuePattern`中，`PROPERTIES_PTRN`的内容如下：

![image-20240326220514764](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-ff830bbca104ace24171770f8f2e7076286e0474.png)

跟进`processKeyValuePattern`

![image-20240326220650132](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-6cff82aff871134133e489ebc95319199eff4a38.png)

这里根据正则表达式匹配出key和value ，并且通过decode()函数解码

![image-20240326220853125](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-643daf70ae81662791636f88c66b5da6954d0ae6.png)

这个decode就是进行URLdecode的地方

![image-20240326220950422](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/03/attach-83d273cde7d8498a26e117cae4ad241e7eb79e66.png)

END
---

漏洞概述：

DataEase是一款开源的数据可视化分析工具。DataEase数据源中存在一个反序列化漏洞，可以被利用来执行任意代码。漏洞代码位于core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java文件中。可以绕过mysql jdbc攻击的黑名单，攻击者可以进一步利用该漏洞进行反序列化执行或读取任意文件。该漏洞已在1.18.15和2.3.0版本中修复。

调试环境搭建

去官网或github下载安装包和源代码，然后再linux部署，这里下载的是1.18.14版本的

下载完成后解压，然后编辑/detaease-vxxx/dataease/docker-compose.yml,添加调试端口5005

然后运行/detaease-vxxx/install.sh等待docker部署完成

docker部署后是有两个容器，进入detaease的容器编辑文件/deployments/run-java.sh ,添加调试参数

在debug_options()中添加：

echo "-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:5005"

修改完成后使用docker restart xx重启该容器即可

除了使用GitHub上的源码调试，还可以用docker里面运行的jar /opt/apps/backend-1.18.14.jar

漏洞分析

补丁分析

首先查看一下漏洞补丁

在补丁中可以看到，修补的方式是添加了一个判断条件， getExtraParams() 返回的内容通过URL解码后是否存在于非法参数列表中，即黑名单

说实话，我并没有找到core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java这个文件

只找到了src/main/java/io/dataease/dto/datasource/MysqlConfiguration.java

参数黑名单如下：

private List illegalParameters = Arrays.asList("autoDeserialize", "queryInterceptors", "statementInterceptors", "detectCustomCollations", "allowloadlocalinfile", "allowUrlInLocalInfile", "allowLoadLocalInfileInPath");  

public List getIllegalParameters(){  
        List newIllegalParameters = new ArrayList&lt;&gt;();  
        newIllegalParameters.addAll(illegalParameters);  
        newIllegalParameters.addAll(Arrays.asList("allowloadlocalinfile", "allowUrlInLocalInfile", "allowLoadLocalInfileInPath"));  
        return newIllegalParameters;  
    }

补丁就加了个URL编码解码，说明漏洞利用点在于URL编码绕过了黑名单

漏洞验证

根据漏洞所在代码的功能找到对应功能点进行测试

这个是jdbc url的构造，说明这个是用来连接数据库的，在添加数据源的地方可以找到连接数据库的功能

这个额外的JDBC连接字符串可控，如果不存在黑名单，就大概率存在反序列化漏洞

验证漏洞很简单，将autoDeserialize=true编码然后填写到JDBC连接字符串中(等号不编码)，autoDeserialize存在于黑名单中：

%61%75%74%6f%44%65%73%65%72%69%61%6c%69%7a%65=%74%72%75%65

点击校验,发现能够正常的得到连接响应，说明绕过了黑名单。

这个漏洞我没有利用成功，可能是这个版本还太新了，这个版本利用的jdbc版本是8.0.28的，似乎没有反序列化漏洞

经过一波摸索，发现这个可以自己上传驱动，漏洞实锤了

直接使用工具就能够利用，读取文件需要添加allowLoadLocalInfile=true ,该工具没给出

%61%6c%6c%6f%77%4c%6f%61%64%4c%6f%63%61%6c%49%6e%66%69%6c%65=%74%72%75%65

读取/etc/passwd成功

疑问解释

为什么jdbc连接时正常解析url编码？

这个需要调试跟踪一下

在构造完jdbc url后在io.dataease.provider.datasource.JdbcProvider.java进行连接，跟进connet方法

来到com.mysql.cj.jdbc.NonRegisteringDriver

首先来到accept(url) 判断这个url是否被允许请求

继续跟进

在isConnectionStringSupported方法中通过正则匹配出jdbc:mysql:

跟进decodeSkippingPlusSign

这里会将+替换成%2B然后进行URLdecode

返回到isConnectionStringSupported

跟进isSupported

这个枚举了Scheme,看jdbc:mysql:是否存在。

返回到connect

跟进getConnectionUrlInstance

这个buildConnectionStringCacheKey方法把账号密码添加到了url中

往下，根据返回的connStringCacheKey尝试从缓存中获取connectionUrl 没有缓存就通过parseConnectionString获取ConnectionUrlParser对象

跟进parseConnectionString,此时的参数是connString ,即还没有加上账号密码的那个

继续跟进ConnectionUrlParser()

将connString赋值给this.baseConnectionString ，然后调用this.parseConnectionString() ,跟进

这里对数据库名进行了解码，并且通过正则表达式将URL参数赋值部分取出保存在this.query中

返回到getConnectionUrlInstance中

刚刚解析得到的connStrParser传入到了getConnectionUrlInstance中进行处理

跟进getConnectionUrlInstance

因为info里面只有password和user,没有dnsSrv这个key，所有这里走的是else这个分支

(parsedProperties = parser.getProperties()).containsKey(dnsSrvPropKey.getKeyName() ，这个代码是从url参数进行查找dnsSrv，这里可能会对参数进行url解码

跟进这个getProperties()

因为this.parsedProperties为null ，进入到this.parseQuerySection()中，继续跟进

这里的this.query是上面正则表达式解析出来的URL参数，因为不为null 进入到了processKeyValuePattern中，PROPERTIES_PTRN的内容如下：

跟进processKeyValuePattern