契约锁 dbtest JDBC 任意文件文件读取 & 远程代码执行漏洞
type
status
date
slug
summary
tags
category
icon
password
AI summary
漏洞原理
漏洞点位于:com.qiyuesuo.setup.SetupController#dbtest()
这里默认采用Mysql驱动,获取各种参数后,构建出jdbcurl发起连接。经测试该接口是未授权的。
通过查看Database的枚举类型可知,可以选择如下驱动:
漏洞复现
Mysql任意文件读取
启动一个恶意Mysql服务器,发送请求即可读取/etc/passwd文件
PostgreSQL RCE
经过查看PostgreSQL的版本,发现是符合CVE-2022-21724的版本范围的
版本范围是:
那么起一个HTTP服务,放置一个恶意的xml文件:
Database的枚举类型构造如下
需要注意的是:
- db的值必须是全大写的,否则会400状态码
- POSTGRESQL会拼接port和dbname,所以需要在host末尾添加%26来截断
使用如下PoC发起请求
Loading...