[CVE-2018-20433]c3p0XXE分析以及复现记录
00×0 前言
越来越懒了,这次复现一下上月爆出的c3p0数据库连接池XXE的漏洞,跟了一下,主要还是对用户自定义的XML文件没进行任何检查。还是有点鸡肋的漏洞,但是怎么使用还是要看各位操作吧。
00×1 复现
受影响版本:<=0.9.5.2
用过c3p0数据库连接池的朋友们都知道,c3p0这个库读的默认配置文件是 c3p0-config.xml, 由于开发者可以任意编辑c3p0-config.xml,且c3p0源码中直接解析了xml文档导致了这个漏洞的产生。
构造一下环境:
dbUtil.java:
package com.test.util;
import com.mchange.v2.c3p0.ComboPooledDataSource;
import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.SQLException;
public class dbUtils {
private static DataSource dataSource = null;
static {
dataSource = new ComboPooledDataSource("mysql");
}
/**
* 返回连接
* @return
*/
public static Connection getConnection(){
Connection conn=null;
try {
conn = dataSource.getConnection();
} catch (SQLException e) {
e.printStackTrace();
}
return conn;
}
public static void closeConn(Connection conn){
try {
if(conn!=null && conn.isClosed()){
conn.close();
}
} catch (SQLException e) {
e.printStackTrace();
}
}
}
test.java
package com.test.junit;
import com.test.util.dbUtils;
import org.junit.Test;
import org.junit.runner.RunWith;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import static org.junit.Assert.*;
public class c3p0Test {
@Test
public void test(){
Connection conn = dbUtils.getConnection();
try {
PreparedStatement stmt= conn.prepareStatement("select user() ");
ResultSet rs=stmt.executeQuery();
while(rs.next()){
System.out.println(rs.getString(1));
}
} catch (SQLException e) {
e.printStackTrace();
}
}
}
c3p0-config.xml
在c3p0-config声明之前插入poc.
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/UBr6Bvi.png)
然后测试test.java
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/iANr6jR.png)
00×2 分析
我们根据cve的提示找到漏洞触发点
c3p0 0.9.5.2 allows XXE in extractXmlConfigFromInputStream in com/mchange/v2/c3p0/cfg/C3P0ConfigXmlUtils.java during initialization.
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/uENF3eR.png)
学习过Java的朋友都知道,Java解析xml常用的有四种方法:DOM,SAX,JDOM,DOM4J,而C3P0数据库连接池采用的DOM,而且在源码中也能看到
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/rYNjieZ.png)
默认读取的配置文件是c3p0-config.xml
知道了产生的地方,现在我们一步一步来跟进漏洞产生的步骤,在初始化数据库连接池库打下断点。
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/N7Z36nF.png)
进入Debug模式。
跟到 AbstractComboPooledDataSource 方法中
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/u6vQzej.png)
再跟进,此处调用了AbstractPoolBackedDataSource类中的构造器
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/ZNVV7fV.png)
跟进,调用了 PoolBackedDataSourceBase 类中的 PoolBackedDataSourceBase方法
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/YZ7vY3B.png)
但是值得注意的是,在执行这个方法之前,PoolBackedDataSourceBase类会初始化一些东西
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/Ffaqemb.png)
我们需要关注的是dataSourceName这个变量,跟进initializeStringPropertyVar这个方法看下详细内容。
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/eYneqyQ.png)
发现并不重要,但是往上看,会发现 C3P0Config这个类,有个静态代码块,初始化的时候加载了一些东西
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/nAb2auF.png)
继续跟进一下findLibraryC3P0Config方法
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/byI322j.png)
从代码中可以看到cfgFinder是调用了 C3P0ConfigFinder接口的findConfig方法
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/JVfimi3.png)
搜索一下,我们可以看到C3P0ConfigFinder接口只有一个实现类 DefaultC3P0ConfigFinder
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/F3MBbeF.png)
跟进方法,可以看到XML的调用趋势了
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/YV7rIb2.png)
调用了开头说的C3P0ConfigXmlUtils类中的另外一个方法中,跟进extractXmlConfigFromDefaultResource方法。
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/7Jz2eqe.png)
这里们可以看到此处调用了最终存在缺陷的函数,我们可以从代码中看到
is = C3P0ConfigUtils.class.getResourceAsStream(XML_CONFIG_RSRC_PATH);
我们可以在此类的头部看到XML_CONFIG_RSRC_PATH的初始化变量为c3p0-config.xml
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/AfiAb2j.png)
代码中将is复制后,将is作为实参传入了 extractXmlConfigFromInputStream 方法中
is = C3P0ConfigUtils.class.getResourceAsStream(XML_CONFIG_RSRC_PATH);
if ( is == null )
{
warnCommonXmlConfigResourceMisspellings();
return null;
}
else
return extractXmlConfigFromInputStream( is );
}
再跟进extractXmlConfigFromInputStream方法,也就是最先说的缺陷函数模块
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/B3aumui.png)
这样,这个漏洞产生的流程就完整的呈现了出来。
00×3 修复方法
修改 extractXmlConfigFromInputStream函数内容,如下
public static C3P0Config extractXmlConfigFromInputStream(InputStream is) throws Exception
{
DocumentBuilderFactory fact = DocumentBuilderFactory.newInstance();
DocumentBuilder db = fact.newDocumentBuilder();
fact.setExpandEntityReferences(false);
Document doc = db.parse( is );
return extractConfigFromXmlDoc(doc);
}
将setExpandEntityReferences设置为false
![[CVE-2018-20433]c3p0XXE分析以及复现记录](http://www.liuhaihua.cn/wp-content/uploads/2019/01/3AjuquI.png)
即不允许dom扩展出xml中的实体引用节点。
00×4 写在后面的话
漏洞确实有点鸡肋,但是思路猥琐点会有大用处,怎么操作看各位发挥。
拨开云雾见天日 守得云开见月明~
正文到此结束
- 本文标签: 解析 dataSource FAQ db 开发者 stream Select src mysql bug 数据库 CTO C3P0 朋友们 源码 UI junit DOM lib id find 代码 开发 ACE 测试 ResultSet 配置 Document build IO 漏洞 REST http java Statement sql parse Connection Property https 数据 XML entity 云 连接池 cat
- 版权声明: 本文为互联网转载文章,出处已在文章中说明(部分除外)。如果侵权,请联系本站长删除,谢谢。
- 本文海报: 生成海报一 生成海报二
热门推荐
相关文章
近期评论
-
https://www.liuhaihua.cn/archives/40657.html 这篇博客中的图片打不开了
-
不会英语啊。
-
前100名用户会展示特殊的纪念徽章
-
-
https://pplx.ai/floraliu4199466 这个链接打不开是什么原因?
-
-
-
-
来看看,最近更新了一波,顺着友联过来的,几年过去了,网站越搞越好,厉害
-
哥太牛了
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
