作者:橙子酱
一开始,我按照平时在仓库中查找历史commit的方式进行查找,但是没有发现修复漏洞的地方。
我猜测代码仓库内没有对漏洞进行修复。
此外,官方在已修复漏洞的版本中删除了发布出的fatjar内的clj源码, 历史版本的源码是存在的。
Metabase这个项目使用了Lisp语言Clojure进行开发,因此编译出的二进制文件很难进行diff, 看来只能从历史源码找了。
令牌泄露
审查了一遍源码中的公开路由和中间件后,并没有发现太大的问题。
然而,当我随手检查了一下浏览器发起的请求时,突然发现properties里的setup-token居然不为null。
我记得我去年之前审过这个项目,这个地方本应该是null的。
继续搜索之后我发现 官方在一个commit中 将 完成安装后移除setup-token 这个重要的的操作给移除了。
https://github.com/metabase/metabase/commit/0526d88f997d0f26304cdbb6313996df463ad13f#diff-bf3f2797f327779cbbd6bfab7e45261c7ee93b29db6828d2ee0ad17acf4d7825L33
这导致了完成安装后 properties仍然存在setup-token
现在 我们已经拿到了 setup-token 以用于调用setup api。
JDBC RCE
setup下 有一个/validate 路由 用于设置数据源时类验证是否连接成功
#_{:clj-kondo/ignore [:deprecated-var]}
(api/defendpoint-schema POST "/validate"
"Validate that we can connect to a database given a set of details."
[:as {{{:keys [engine details]} :details, token :token} :body}]
{token SetupToken
engine DBEngineString}
(let [engine (keyword engine)
error-or-nil (api.database/test-database-connection engine details)]
(when error-or-nil
(snowplow/track-event! ::snowplow/database-connection-failed
nil
{:database engine, :source :setup})
{:status 400
:body error-or-nil})))
其中支持H2数据库 H2如果可以自定义连接参数的话就可以RCE
手动试了下 发现无法新建文件 只能读取现有数据库 (代码中通过添加IFEXISTS参数限制了创建)
使用metabase自带内置数据库 (metabase 默认使用H2作为系统数据库)
file:/metabase.db/metabase.db
尝试使用INIT 发现任何内容都可以连接成功
分析源码发现H2连接时会将INIT参数移除
(defn- connection-string-set-safe-options
"Add Metabase Security Settings™ to this `connection-string` (i.e. try to keep shady users from writing nasty SQL)."
[connection-string]
{:pre [(string? connection-string)]}
(let [[file options] (connection-string->file+options connection-string)]
(file+options->connection-string file (merge
(->> options
;; Remove INIT=... from options for security reasons (Metaboat #165)
;; http://h2database.com/html/features.html#execute_sql_on_connection
(remove (fn [[k _]] (= (u/lower-case-en k) "init")))
(into {}))
{"IFEXISTS" "TRUE"}))))
https://github.com/metabase/metabase/commit/252024431aa61c538c73ece21fa04ef99e4ed17b
那么有什么方法可以绕过这个限制呢?
H2限制绕过
方法1
connection-string-set-safe-options 使用了lower-case-en 将参数名转换为小写字母之后与init匹配进行校验.
H2则是将参数名转换为大写
private void readSettingsFromURL() {
DbSettings var1 = DbSettings.getDefaultSettings();
int var2 = this.url.indexOf(59);
if (var2 >= 0) {
String var3 = this.url.substring(var2 + 1);
this.url = this.url.substring(0, var2);
String[] var4 = StringUtils.arraySplit(var3, ';', false);
String[] var5 = var4;
int var6 = var4.length; for(int var7 = 0; var7 < var6; ++var7) {
String var8 = var5[var7];
if (!var8.isEmpty()) {
int var9 = var8.indexOf(61);
if (var9 < 0) {
throw this.getFormatException();
}
String var10 = var8.substring(var9 + 1);
String var11 = var8.substring(0, var9);
var11 = StringUtils.toUpperEnglish(var11);
if (!isKnownSetting(var11) && !var1.containsKey(var11)) {
throw DbException.get(90113, var11);
}
String var12 = this.prop.getProperty(var11);
if (var12 != null && !var12.equals(var10)) {
throw DbException.get(90066, var11);
}
this.prop.setProperty(var11, var10);
}
}
}
}
两个方法不同 这里就出现了一个问题
在进行大小写转换时 其他语言的一些字母也能被转换成英文字母 然而这两个处理的大小写转换完全相反
参考 Fuzz中的javascript大小写特性
这里刚好可以使用 拉丁字母 ‘ı’ 替换INIT中的 I
ıNIT在转成大写时 为INIT
但是ıNIT转成小写后为 ınit ı没有被转换 绕过这个限制
这里修复的时候 可以将大小写转换和H2保持一致 就可以避免这个问题
之后构造SQL语句 创建触发器 执行javascript脚本
参考 Make_JDBC_Attack_Brilliant_Again
特殊符号问题可以使用 eval(decodeURIComponent(“”)) 解决 注意执行一次要修改一个名称
成功RCE
版权声明:本文首发于白帽酱的博客,转载请注明出处!