CTF导航 CTF导航

Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646

渗透技巧 9个月前 admin
290 0 0

前言

一开始,我按照平时在仓库中查找历史commit的方式进行查找,但是没有发现修复漏洞的地方。
我猜测代码仓库内没有对漏洞进行修复。
此外,官方在已修复漏洞的版本中删除了发布出的fatjar内的clj源码, 历史版本的源码是存在的。
Metabase这个项目使用了Lisp语言Clojure进行开发,因此编译出的二进制文件很难进行diff, 看来只能从历史源码找了。

漏洞分析

令牌泄露

审查了一遍源码中的公开路由和中间件后,并没有发现太大的问题。
然而,当我随手检查了一下浏览器发起的请求时,突然发现properties里的setup-token居然不为null。
我记得我去年之前审过这个项目,这个地方本应该是null的。
Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646

Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646
继续搜索之后我发现 官方在一个commit中 将 完成安装后移除setup-token 这个重要的的操作给移除了。
https://github.com/metabase/metabase/commit/0526d88f997d0f26304cdbb6313996df463ad13f#diff-bf3f2797f327779cbbd6bfab7e45261c7ee93b29db6828d2ee0ad17acf4d7825L33
这导致了完成安装后 properties仍然存在setup-token
现在 我们已经拿到了 setup-token 以用于调用setup api。

JDBC RCE

setup下 有一个/validate 路由 用于设置数据源时类验证是否连接成功

#_{:clj-kondo/ignore [:deprecated-var]}
(api/defendpoint-schema POST "/validate"
                        "Validate that we can connect to a database given a set of details."
                        [:as {{{:keys [engine details]} :details, token :token} :body}]
                        {token  SetupToken
   engine DBEngineString}
                        (let [engine       (keyword engine)
        error-or-nil (api.database/test-database-connection engine details)]
    (when error-or-nil
      (snowplow/track-event! ::snowplow/database-connection-failed
                             nil
                             {:database engine, :source :setup})
      {:status 400
       :body   error-or-nil})))
Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646

其中支持H2数据库 H2如果可以自定义连接参数的话就可以RCE
手动试了下 发现无法新建文件 只能读取现有数据库 (代码中通过添加IFEXISTS参数限制了创建)
Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646
使用metabase自带内置数据库 (metabase 默认使用H2作为系统数据库)
file:/metabase.db/metabase.db
尝试使用INIT 发现任何内容都可以连接成功
分析源码发现H2连接时会将INIT参数移除

(defn- connection-string-set-safe-options
  "Add Metabase Security Settings™ to this `connection-string` (i.e. try to keep shady users from writing nasty SQL)."
  [connection-string]
  {:pre [(string? connection-string)]}
  (let [[file options] (connection-string->file+options connection-string)]
    (file+options->connection-string file (merge
                                           (->> options
;; Remove INIT=... from options for security reasons (Metaboat #165)
;; http://h2database.com/html/features.html#execute_sql_on_connection
                                                (remove (fn [[k _]] (= (u/lower-case-en k) "init")))
                                                (into {}))
                                           {"IFEXISTS" "TRUE"}))))

https://github.com/metabase/metabase/commit/252024431aa61c538c73ece21fa04ef99e4ed17b
那么有什么方法可以绕过这个限制呢?

H2限制绕过

方法1

connection-string-set-safe-options 使用了lower-case-en 将参数名转换为小写字母之后与init匹配进行校验.
H2则是将参数名转换为大写

private void readSettingsFromURL() {
     DbSettings var1 = DbSettings.getDefaultSettings();
     int var2 = this.url.indexOf(59);
     if (var2 >= 0) {
        String var3 = this.url.substring(var2 + 1);
        this.url = this.url.substring(0, var2);
        String[] var4 = StringUtils.arraySplit(var3, ';', false);
        String[] var5 = var4;
        int var6 = var4.length;

        for(int var7 = 0; var7 < var6; ++var7) {
           String var8 = var5[var7];
           if (!var8.isEmpty()) {
              int var9 = var8.indexOf(61);
              if (var9 < 0) {
                 throw this.getFormatException();
              }

              String var10 = var8.substring(var9 + 1);
              String var11 = var8.substring(0, var9);
              var11 = StringUtils.toUpperEnglish(var11);
              if (!isKnownSetting(var11) && !var1.containsKey(var11)) {
                 throw DbException.get(90113, var11);
              }

              String var12 = this.prop.getProperty(var11);
              if (var12 != null && !var12.equals(var10)) {
                 throw DbException.get(90066, var11);
              }

              this.prop.setProperty(var11, var10);
           }
        }
     }

  }

两个方法不同 这里就出现了一个问题
在进行大小写转换时 其他语言的一些字母也能被转换成英文字母 然而这两个处理的大小写转换完全相反
参考 Fuzz中的javascript大小写特性
这里刚好可以使用 拉丁字母 ‘ı’ 替换INIT中的 I
ıNIT在转成大写时 为INIT
但是ıNIT转成小写后为 ınit ı没有被转换 绕过这个限制
这里修复的时候 可以将大小写转换和H2保持一致 就可以避免这个问题
之后构造SQL语句 创建触发器 执行javascript脚本
参考 Make_JDBC_Attack_Brilliant_Again
特殊符号问题可以使用 eval(decodeURIComponent(“”)) 解决 注意执行一次要修改一个名称
Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646成功RCE
Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646

原文始发于橙子酱:Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646

版权声明:admin 发表于 2023年8月3日 下午5:22。
转载请注明:Metabase 远程代码执行漏洞分析 & 一种补丁绕过方法 CVE-2023-38646 | CTF导航

相关文章

攻防技术创新探究
admin
503
openfire鉴权绕过漏洞原理解析
admin
479
Obfuscating C2 Traffic with Google Cloud Functions
admin
332
How I passed the Intigriti 0124 Challenge
admin
19
渗透文章分享(4)——安全论坛和博客
admin
834
每日安全动态推送(1-29)
admin
559

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

每日安全动态推送(4-28)
0
[代码审计] 某盗U/发卡系统 不知道是几day
0
Cookie-Monster – BOF To Steal Browser Cookies & Credentials
0
How Did I Easily Find Stored XSS at Apple And Earn $5000 ?
0
How I Discovered an RCE Vulnerability in Tesla, Securing a $10,000 Bounty
0
pgAdmin 8.3 Remote Code Execution
0
How I Prevented a Mass Data Breach – $15,000 bounty – @bxmbn
0
The Windows Registry Adventure #1: Introduction and research results
0
使用 VIM 进行代码审计
0
Progress Flowmon 任意命令执行漏洞 CVE-2024-2389
0