我们应该了解的JNDI数据源配置

2019 年 1 月 10 日 FreeBuf

一、写在前面

文章主要介绍了JNDI数据源配置和找回密码的方法,只叹范围太大只能写下冰山一角,如有错误还请指出。

如需了解配置:Tomcat请看2.1,WebLogic请看2.2,WebSphere请看2.3。

如需找回数据库连接、用户名和密码:Tomcat请看2.1,WebLogic请看3.1,WebSphere请看3.2。

二、JNDI数据源

JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。

JNDI数据源则是JNDI常见的应用形式,将数据源交由应用服务器托管不再由应用程序创建,只需在应用程序中设置正确的JNDI名称,即可进行数据操作。

三、常见应用服务器配置

2.1 Tomcat 8.5

Tomcat应是非常常见的Web应用容器,其配置的关键点包括文件:context.xml、server.xml、\conf\Catalina\{servername}{appname}.xml。({servername}指tomcat中应用的服务器名称,{appname}指tomcat中应用的名称。)

1)根据数据库类型,在{tomcat}\lib下放入对应数据库的jdbc包,我这里演示用的是mysql。({tomcat}指tomcat安装目录。)

2)方法一:配置server.xml和context.xml。在{tomcat}\conf下编辑server.xml,在GlobalNamingResources中写入Resource配置

<Resource    name="jdbc/example"
    auth="Container"
    type="javax.sql.DataSource"
    maxActive="100"
     maxIdle="30"
     maxWait="10000"
    username="root"
     password="root"
    driverClassName="com.mysql.jc.jdbc.Driver"
    url="jdbc:mysql://localhost:3306/test?useUnicode=true&amp;characterEncoding=utf-8&amp;serverTimezone=UTC"/>

3)在context.xml中写配置,将servers中的配置引用

<ResourceLink name="jdbc/example" global="jdbc/example" type="javax.sql.DataSource"/>

4)那接下来新建一个JavaWeb项目,由三个文件组成:index.jsp,web.xml,ConnExample.java。

index.jsp

<%@page import="jdbc.ConnExample"%>
<%@page import="java.sql.ResultSet"%>
<%@page language="java" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>JNDI测试页面</title>
</head>
<body>
<%
    ResultSet resultSet = ConnExample.doSelect();
out.print("<table>");
int colcount = resultSet.getMetaData().getColumnCount();
out.print("<tr><td>ID</td><td>用户名</td><td>年龄</td></tr>");
while (resultSet.next()) {
    out.print("<tr>");
    for (int i = 1; i <= colcount; i++) {
        out.print("<td>" + resultSet.getString(i) + "</td>");
    }
    out.print("</tr>");
}
out.print("</table>");
%>
</body>
</html>

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
    id="WebApp_ID" version="3.0">
    <display-name>TMP</display-name>
    <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
        <welcome-file>default.html</welcome-file>
        <welcome-file>default.htm</welcome-file>
        <welcome-file>default.jsp</welcome-file>
    </welcome-file-list>
    <resource-ref>
        <description>DB Connection</description>
        <res-ref-name>jdbc/example</res-ref-name>
        <res-type>javax.sql.DataSource</res-type>
        <res-auth>Container</res-auth>
    </resource-ref>
</web-app>

ConnExample.java

package jdbc;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import javax.naming.Context;
import javax.naming.InitialContext;
import javax.naming.NamingException;
import javax.sql.DataSource;

public class ConnExample {
    public static ResultSet doSelect() throws NamingException, SQLException {
        Context context = new InitialContext();
        DataSource dataSource = (DataSource) context.lookup("java:comp/env/jdbc/example");
        Connection connection = dataSource.getConnection();
        Statement statement = connection.createStatement();
        String sql = "select * from users";
        ResultSet resultSet = statement.executeQuery(sql);
        return resultSet;
    }
}

5)组建项目,打包成war部署一下就好了。

6)方法二:当然还有更弱化的,就是直接在context.xml中写入配置即可。

<Resource    name="jdbc/example"
    auth="Container"
    type="javax.sql.DataSource"
    maxActive="100"
     maxIdle="30"
     maxWait="10000"
    username="root" 
    password="root"
    driverClassName="com.mysql.jc.jdbc.Driver"
    url="jdbc:mysql://localhost:3306/test?useUnicode=true&amp;characterEncoding=utf-8&amp;serverTimezone=UTC"/>

7)这样访问之前配置的应用即可使用。

8)方法三:之前的配置的作用域是全局作用域,只要是tomcat下的应用都可以访问对应的数据源配置。如果需要针对单个应用配置数据源,可以根据应用项目名称在目录{tomcat}\conf\Catalina{servername}下增加配置文件。比如我这个项目叫“JNDIDataSourceExample”,就新增文件JNDIDataSourceExample.xml。一一对应是必须的,不然找不到配置了。

9)在JNDIDataSourceExample中写入配置即可。

<?xml version="1.0" encoding="UTF-8"?>
<Context>
<Resource auth="Container" driverClassName="com.mysql.cj.jdbc.Driver" maxActive="100" maxIdle="30" maxWait="10000" name="jdbc/example" password="root" type="javax.sql.DataSource" url="jdbc:mysql://localhost:3306/test?useUnicode=true&amp;characterEncoding=utf-8&amp;serverTimezone=UTC" username="root"/>
</Context>

10)这样访问之前配置的应用即可使用。

2.2 WebLogic 12c

WebLogic应是非常常见的Web应用容器,其配置的主要通过WebLogic控制台完成,比tomcat容易的得多。

1)登录控制台在服务里面找到数据源,然后新建一条一般数据源。

2)配置数据源名称,JNDI名称,数据库类型。当然这里需要注意JNDI名称,这里是要应用程序的一致的呢,比如:web.xml中配置的JNDI名称

3)选择数据库驱动。这点吧对比WebSphere就能看出,同一体系的好处了,至少驱动有的。

4)后续的一些配置截图参考,可采用默认设置。当然,数据库名称、主机名、端口、数据库用户名、口令这个肯定要和需要被连接的数据库一致。

5)完成之后部署之前的war包即可使用。

2.3 WebSphere 8.5.5.14

WebSphere是非常常见的Web应用容器,其配置的主要通过WebSphere控制台完成,比weblogic复杂太多,以下是建议流程。

1)WebSphere没有自带mysql的jdbc,需要自己添加。我这里先拷贝放到{WebSphere}\lib。

2)登录控制台,首先先配置资源中JDBC的JDBC提供程序,新建一个JDBC提供程序。作用域可任选,不过不能是全部,毕竟全部并不是一个选项,会提示错误。

3)配置实现类名,这里就要到mysql的jdbc包中去找了,找含有名称DataSource或ConnectionPoolDataSource的类文件。其他的则是描述性质字段可自便。完整内容截图看下图第二张即可。

4)配置类的jar包路径,之前我放在lib下这里则图个方便,依靠环境变量${WAS_INSTALL_ROOT}获取WebSphere安装路径,然后再指向jar包。

5)核对下配置,没问题就可以完成了。

6)以上是第一个麻烦。接下来配置JDBC中的数据源,点击新建。作用域可任选。

7)配置数据源名和JNDI名称,重点是JNDI名称,需要与应用中引用的一致。

8)选择刚才设置好的JDBC提供程序。

9)一路默认设置到完成

10)是的我咋没有配置数据库连接地址、数据库用户名、口令等呢?接下来就是了。进入之前新建的数据源配置。

11)进入J2C认证数据。

12)新建一项

13)别名可自定义,用户标识和密码需要填写为数据库的用户名和密码。

14)确定之后,再次打开刚新建的数据源配置,选择右侧定制属性。

15)新建一条属性

16)名称为“url”,这个是固定的。值则是数据库地址,java一般是jdbc:mysql://开头。

17)确定之后返回JNDI数据源配置,保存到主配置。点击测试连接,只要没有错误就OK,警告可以忽略。

18)完成之后部署之前的war包即可使用。

三、反向思考

以上三种配置,各位看官看还行?Tomcat上应该已经很透彻了,如果是Weblogic和Websphere要是某一天我进入不了控制台,又要找到数据库的配置,咋办???还请继续往下看。

3.1 WebLogic 12c

1)WebLogic当配置好JNDI数据源后,对应的配置会存放到域目录的config\jdbc下。(域目录由WebLogic由用户指定,安装或控制台皆可配置,我安装的时候直接无脑下一步自然就在这里了C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain)

2)根据WebLogic控制台中配置的名称,在此处就会保存为对应名称的配置文件。上面配置案例是”example-jdbc”,所以文件名也就是example-jdbc.xml。打开配置文件查看配置内容,配置中包含数据库连接、数据库用户名、加密后的口令、JNDI名称。

3)既然是找回密码,那还需要解密一下密码才算完结。WebLogic的密码解密需要两个条件,一个是加密后的字符串,一个是域目录下security\SerializedSystemIni.dat文件。具备两者就可以进行解密了。解密工具地址:https://github.com/NetSPI/WebLogicPasswordDecryptor。(当然解密控制台密码也是可以的。)

3.2 WebSphere 8.5.5.14

1)WebSphere稍稍麻烦点,大概就像前面配置一样麻烦。值得回顾一下之前在配置的时候有作用域的选项,不同的作用域配置,会导致数据库配置保存在不同的位置。庆幸的是文件名是固定的都是resources.xml。

2)无脑下一步安装后单元作用域默认路径C:\Program Files (x86)\IBM\WebSphere\AppServer\profiles\AppSrv01\config\cells\DESKTOP-29LUD0JNode01Cell,这里面需要注意AppSrv01,DESKTOP-29LUD0JNode01Cell都是可以自由配置无固定形式,但是中间的路径结构是固定的。(DESKTOP-29LUD0JNode01Cell意思是{SystemHostName}Node01Cell。)

2)再深入节点作用域则是在单元作用域路径的基础上深入目录\nodes\DESKTOP-29LUD0JNode01。(DESKTOP-29LUD0JNode01意思是{SystemHostName}Node01。)

3)再再深入服务器作用域则是在节点作用域的基础上深入目录\servers\server1。

4)那么根据配置的作用域打开对应的resources.xml就可以了,然后在文件中搜索我们的jndi名称。我上面2.3的配置是设置在节点作用域下,故打开节点作用域的resources.xml。这里离目标更近一步了,我们获得了authDataAlias和数据库连接地址,接下来是找到真实的认证信息。

5)authDataAlias的值是保存在单元作用域下的security.xml文件中,打开security.xml搜索我们的别名。userId是数据库用户名,password则是数据库口令。

6)又是一个处理过后的密码,这里有个网页工具可以一试http://strelitzia.net/wasXORdecoder/wasXORdecoder.html,就可以获得密码了。

四、总结

1、配置Tomcat需要通过文件编辑实现,而WebLogic和WebSphere提供了网页控制台配置方式。

2、Tomcat重点关注servers.xml、context.xml和\conf\Catalina\{servername}{appname}.xml。

3、Weblogic配置藏在config\jdbc下,WebSphere分散保存在resources.xml和security.xml中。

4、代码审计时往往会遇上硬编码问题,可以将该风险转嫁规避。

*本文作者:wexiaojiu,转载请注明来自 FreeBuf.COM


登录查看更多
1

相关内容

XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言。XPath基于XML的树状结构,提供在数据结构树中找寻节点的能力。起初 XPath 的提出的初衷是将其作为一个通用的、介于XPointer与XSLT间的语法模型。但是 XPath 很快的被开发者采用来当作小型查询语言。
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
194+阅读 · 2020年6月29日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
【干货】用BRET进行多标签文本分类(附代码)
专知会员服务
84+阅读 · 2019年12月27日
MIT新书《强化学习与最优控制》
专知会员服务
275+阅读 · 2019年10月9日
通过Docker安装谷歌足球游戏环境
CreateAMind
11+阅读 · 2019年7月7日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
PHP使用Redis实现订阅发布与批量发送短信
安全优佳
7+阅读 · 2019年5月5日
GitHub 热门:各大网站的 Python 爬虫登录汇总
机器学习算法与Python学习
9+阅读 · 2019年3月20日
超级!超级!超级好用的视频标注工具
极市平台
8+阅读 · 2018年12月27日
推荐一些适合小白练手的Python项目
数据挖掘入门与实战
6+阅读 · 2018年5月17日
Learning to See Through Obstructions
Arxiv
7+阅读 · 2020年4月2日
A Survey on Deep Learning for Named Entity Recognition
Arxiv
26+阅读 · 2020年3月13日
Meta-Learning with Implicit Gradients
Arxiv
13+阅读 · 2019年9月10日
VIP会员
相关VIP内容
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
194+阅读 · 2020年6月29日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
【干货】用BRET进行多标签文本分类(附代码)
专知会员服务
84+阅读 · 2019年12月27日
MIT新书《强化学习与最优控制》
专知会员服务
275+阅读 · 2019年10月9日
相关资讯
通过Docker安装谷歌足球游戏环境
CreateAMind
11+阅读 · 2019年7月7日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
PHP使用Redis实现订阅发布与批量发送短信
安全优佳
7+阅读 · 2019年5月5日
GitHub 热门:各大网站的 Python 爬虫登录汇总
机器学习算法与Python学习
9+阅读 · 2019年3月20日
超级!超级!超级好用的视频标注工具
极市平台
8+阅读 · 2018年12月27日
推荐一些适合小白练手的Python项目
数据挖掘入门与实战
6+阅读 · 2018年5月17日
Top
微信扫码咨询专知VIP会员