• <em id="ommgs"></em>
    <dd id="ommgs"><center id="ommgs"></center></dd>

    1. <em id="ommgs"><acronym id="ommgs"><u id="ommgs"></u></acronym></em>
      首 页IT知识库翔宇问吧收藏内容
      当前位置:翔宇亭IT乐园IT知识库电脑基础安全防护

      Apache SkyWalking SQL注入漏洞复现分析

      减小字体 增大字体 作者:本站  来源:本站整理  发布时间:2020-07-03 21:47:34

      本文转自:百度安全>安全社区,原文链接地址:https://anquan.baidu.com/article/1097

      1、前言

      Apache SkyWalking 是一款开源的应用性能监控系统,包括指标监控,分布式追踪,分布式系统性能诊断等。近日,百度云安全团队监测到国内某厂商发布了Apache SkyWalking SQL注入漏洞的风险通告,漏洞编号为CVE-2020-9483。当SkyWalking使用H2、MySQL或者TiDB作为存储方案时,攻击者可通过默认未授权的GraphQL接口构造恶意请求,从而获取敏感数据。本文主要由github上的漏洞补丁分析而来,若有不正确的地方还请及时指正。

      2、调试环境搭建

      漏洞影响6.0.0-6.6.0、7.0.0版本,根据github上项目文档,直接利用IDEA调试需要先进行编译。本文为了简单使用远程调试的方式,在官网下载编译好的6.5.0版本

      编辑oapServ ice.sh加入如下调试命令并运行。

      1.png

      下载6.5.0源码

      (https://www.apache.org/dyn/closer.cgi/skywalking/6.5.0/apache-skywalking -apm-6.5.0-src.tgz)

      导入IDEA,添加Remote Configuration,并设置module classpath为oap-server。至此,远程调试环境搭建完成。

      2.png

      3、漏洞分析

      由于openwall上对该漏洞描述很简单,我们还是到github上寻找最近的issue。

      经过寻找我们发现了下面的pull request

      (https://github.com/apache/skywalking/pull/4639/commits /2b6aae3b733f9dbeae1d6eff4f1975c723e1e7d1),

      作者为wu-sheng和openwall上漏洞作者相印证,基本确定该处文件修改为漏洞成因。

      修改涉及getLinearIntValues、getMultipleLinearIntValues、getThermodynamic等多个方法但修复手法类似,本文以getLinearIntValues为例进行分析。

      3.png

      可以看到ids参数由原先的直接拼接sql改为利用”?”进行占位预编译,这是典型的SQL注入修复方法。我们向上搜索getLinearIntValues方法在哪里调用,

      找到了org/apache/skywalking/oap/server/core/query/MetricQueryService.java的getLinearIntValues方法。

      继续向上追踪getLinearIntValues,在org/apache/skywalking/oap/query/graphql/resolver /MetricQuery.java有了发现,并且MetricQuery类实现了GraphQLQueryResolver接口.

      5.png

      查询文档可知,支持GraphQL的查询服务要实现GraphQLQueryResolver接口,该接口仅仅是一个声明接口,没有任何方法。同时,在schema配置文件metric.graphqls中,我们发现getLinearIntValues方法的查询配置。

      6.png

      对GraphQL语法不熟悉的师傅可以通过如下例子进行熟悉:

      7.png

      HeroNameAndFriends是操作名称,可用可不用,方便回溯查询记录。

      $episode声明一个变量,它的类型是Episode,默认值为JEDI。$withFriends同理。变量在后面通过JSON传递值。

      firsthero是别名。为了避免冲突,可以取别名。

      hero后面的(episode: $episode)表示参数,可以限定查询的条件,参数的值可以为常量。

      ...on Droid和...on Human在整个查询中,我们查询的主题是hero(主角),而根据Query定义,hero返回的值由getHero函数和传入参数episode决定,该函数返回一个对象,对象的type可能是Human或者Droid。这部分语法就是根据查询返回对象的不同类型而输出不同的结果。

      通过上述知识我们可以构造如下请求,通过Union注入获取当前用户。

      8.png

      通过Debug发现ids参数引入恶意语句直接拼接到SQL语句中。同样的,漏洞不仅仅只是存在getLinearIntValues方法,有多个方法可被利用,并且由于GraphQL接口默认是未授权的,漏洞危害较大建议用户及时修复。

      9.png

      4、安全产品解决方案

      百度安全智能一体化产品已支持CVE-2020-9483检测和拦截,有需要的用户可以访问anquan.baidu.com联系我们。

      参考链接:

      https://github.com/apache/skywalking/commit/4ce2e9e87398efcee4b646af1143f4dc2ae10dc7

      https://www.openwall.com/lists/oss-security/2020/06/15/1

      知识评论评论内容只代表网友观点,与本站立场无关!

         评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
      愿您的精彩评论引起共鸣,带来思考和价值。
      用户名: 查看更多评论
      分 值:100分 90分 80分 70分 60分 40分 20分
      内 容:
      验证码:
      关于本站 | 网站帮助 | 广告合作 | 网站声明 | 友情连接 | 网站地图
      本站部分内容来自互联网,如有侵权,请来信告之,谢谢!
      Copyright © 2007-2020 biye5u.com. All Rights Reserved.
      japanese日本熟妇photo