MySQL JDBC任意文件读取漏洞分析与利用

MySQL JDBC任意文件读取漏洞分析与利用 漏洞概述 MySQL JDBC驱动存在一个安全漏洞，攻击者可以通过伪造MySQL服务端来读取客户端上的任意文件。该漏洞利用了MySQL协议中的文件传输功能，当客户端连接恶意服务器时，服务器可以强制客户端发送本地文件内容。 漏洞原理 MySQL协议支持客户端和服务器之间的文件传输功能。正常情况下，服务器可以请求客户端发送特定文件（如LOAD DATA LOCAL INFILE语句）。恶意服务器可以滥用这一功能，在客户端连接时强制其发送任意文件内容。 漏洞利用条件 应用程序使用MySQL JDBC驱动连接数据库 应用程序允许配置自定义JDBC连接字符串 JDBC驱动版本存在漏洞（所有版本理论上都受影响，但不同版本表现不同） 漏洞利用步骤 传统方法（三步法） 回复MySQL客户端一个greeting包 - 伪装成合法的MySQL服务器 等待客户端发送查询包 - 接收客户端发送的SQL查询 回复一个file transfer包 - 要求客户端发送指定文件 改进方法（四步法） 研究发现，某些JDBC版本（如5.x）在传统三步法下会抛出"Unexpected exception encountered during query"错误。原因是缺少对 MaxAllowedPacket 值的正确处理。 改进后的步骤： 回复MySQL客户端一个greeting包 等待客户端发送查询包 先回复一个正常的查询结果包 （包含 MaxAllowedPacket 值） 再回复一个file transfer包要求客户端发送文件 关键问题分析 MaxAllowedPacket问题 MaxAllowedPacket 是MySQL服务器告知客户端的最大允许数据包大小。在某些JDBC版本中，如果恶意服务器不返回这个值或返回负值，会导致JDBC驱动抛出异常。 JDBC版本差异 高版本JDBC：传统三步法通常可以成功 低版本JDBC（如5.x）：需要四步法，先返回正常查询结果 漏洞利用工具 文中提到的几个相关工具： Gifts/Rogue-MySql-Server allyshka/Rogue-MySql-Server jas502n/CVE-2019-12086-jackson-databind-file-read 防御措施 升级JDBC驱动 ：使用最新版本，并设置 allowLoadLocalInfile=false 配置限制 ：在连接字符串中添加 allowLoadLocalInfile=false 参数 网络隔离 ：限制应用程序服务器只能连接可信的MySQL服务器 文件权限 ：严格控制应用程序运行用户的文件访问权限 示例攻击流程 搭建恶意MySQL服务器 诱导目标应用程序连接该服务器 服务器响应greeting包 接收客户端查询 服务器先返回正常查询结果（包含正确的MaxAllowedPacket值） 服务器发送文件请求包，指定要读取的文件路径（如/etc/passwd） 客户端返回请求的文件内容 技术细节 数据包分析 Greeting包 ：包含服务器版本、协议版本等信息 查询包 ：客户端发送的SQL语句 文件请求包 ：包含要读取的文件路径 文件内容包 ：客户端返回的文件内容 JDBC调试技巧 使用Wireshark等工具捕获MySQL协议流量 分析不同JDBC版本对协议的处理差异 通过源代码调试了解异常抛出点 总结 MySQL JDBC任意文件读取漏洞是一个严重的安全问题，攻击者可以利用它读取服务器上的敏感文件。不同JDBC版本对漏洞的利用方式有所不同，需要根据目标环境调整攻击方法。防御方面，除了升级驱动外，还应采取多层次的防护措施。