Java反序列化利用链篇 | JdbcRowSetImpl利用链分析

已于 2024-09-21 22:44:27 修改
阅读量371 收藏 6
点赞数 3
分类专栏: JAVA安全 文章标签: JDBC 利用链 java反序列化 java
于 2024-09-07 11:37:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45305211/article/details/141993228
版权

文章目录

系列篇其他文章,推荐顺序观看~

JdbcRowSetImpl利用链

前言

首先说明一下:利用链都有自己的使用场景,要根据场景进行选择不同的利用链。

JdbcRowSetImpl利用链用于fastjson反序列化漏洞中。

为什么?

因为fastjson会在反序列化类时自动调用set开头的方法(不一定是setter方法),而JdbcRowSetImpl中存在一个set开头的方法,即setAutoCommit(),该这个方法中调用了connect()方法,connect()方法返回值是Connection类,返回值是由DataSource.getConnection()产生,作用是向“数据源”发起连接(Java中的Connection接口类是用于建立与数据库之间的连接的)。而这个“数据源”是可控的。

JdbcRowSetImpl利用链分析

setAutoCommit()方法代码如下:

可以看到,当this.conn为null时,会调用connect()方法,然后赋值给this.conn。也就是说肯定会调用connect()方法执行。

connect()方法代码如下:

主要是下面这段代码:如果this.getDataSourceName()有值的时候会进入

InitialContext var1 = new InitialContext();
DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());
return this.getUsername() != null && !this.getUsername().equals("") ? var2.getConnection(this.getUsername(), this.getPassword()) : var2.getConnection();

这段代码大概意思是执行InitialContext.lookup(this.getDataSourceName())返回一个数据源对象DataSource,然后再调用getConnection()方法,返回一个Connection对象。

大概理解为:向数据源DataSource发起了获取请求。

而这个数据源DataSource是由this.getDataSourceName()决定的,那接下来看一看这个方法做了什么:

原来是返回this.dataSource值,这个值从哪来呢?

通过搜索,发现是由setDataSourceName()方法来设置,值为该方法的参数值。

接下来,看看在哪里调用了该方法:通过搜索发现并没有位置调用它。

想一下:没有地方调用,这个this.dataSource值怎么来?又怎么完成上述的过程呢?

别急,setDataSourceName()方法不刚好是“set”开头的嘛,所以可以利用fastjson反序列化来触发。

这样一来,整个思路就通了:

  • 我们想执行恶意操作,关键是如何才能成功执行DataSource.getConnection(),因为该方法结合JNDI是可以远程加载资源的(JNDI注入)。
  • 想执行这个操作,需要使用到JdbcRowSetImpl中的setAutoCommit()setDataSourceName()这两个方法。
  • 其中setAutoCommit()方法用于执行connect(),进而执行DataSource.getConnection()操作。
  • setDataSourceName()方法是为了获取到DataSource,使getConnection()可以顺利执行。
  • setAutoCommit()setDataSourceName()这两个方法,都是“set”开头的,所以fastjson在反序列化的时候,都可以自动执行。

因此fastjson反序列化漏洞是可以结合JdbcRowSetImpl来完成利用的!

_leyilea
关注
专栏目录
FastJson JdbcRowSetImpl 链分析
Vicl1fe的博客
07-17 671
前言 继续跟着大佬学习fastjson利用。之前写了fastjson TemplateImple利用。里面分析了fastjson的一些数据流向。 对于JdbcRowSetImpl。这个基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。 环境 jdk1.8_102 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</arti
fastjson反序列化JdbcRowSetImpl
qq_40710190的博客
07-08 413
fastjson利用
Fastjson 反序列化 Jndi 注入利用 JdbcRowSetImpl
Love&Share
02-26 5499
文章目录Fastjson 反序列化Fastjson 组件使用案例漏洞原理Jndi注入利用JdbcRowSetImpl原理复现调试高级利用-推荐阅读Fastjson姿势技巧fastjson检测参考文章 Fastjson 反序列化 Fastjson 组件是阿里巴巴开发的反序列化与序列化组件 Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因: Fastjson 提供了反序列化功能,允许用户在输入 JSON 串时通过 “@type” 键对应的 value 指定任意反序列化类名 Fastj.
JAVA详细思路|Java安全之FastJson JdbcRowSetImpl 链分析
m0_57227221的博客
05-17 1104
Java安全之FastJson JdbcRowSetImpl 链分析 0x00 前言 这一次我们来学习 JdbcRowSetImpl 利用JdbcRowSetImpl利用在实际运用中较为广泛,这个基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。 0x01 漏洞分析 利用限制 首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。 RMI利用的JDK版本≤ JDK 6u132、7u122、8u113 LADP利用JDK版本≤
【Web】速谈FastJson反序列化JdbcRowSetImpl利用
uuzeray的博客
03-03 734
继续看connect方法,显然conn为空且我们有DataSourceName属性,进到else if的分支,调用(new InitialContext()).lookup(),经典何须多言,只要dataSourceName设为恶意远程RMI服务或LDAP服务打JNDI即可。fastjson的第二条JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,其原理就是setter的自动调用。开一个恶意LDAP服务器。找个端口放恶意字节码。
JDK 1.5学习之RowSet
代码人生
03-19 1219
在jdk1.4的javax.sql包中有一个RowSet接口,但是没有具体实现的类。"Tiger"诞生之后,引入了  javax.sql.rowset包中的五个子接口和com.sun.rowset包里面的对应的五个实现类,这样我们就可是使用功能强大的 RowSet 了。jdk1.5中RowSet的五个子接口分别是JdbcRowSet,CachedRowSet,WebRowSet, JoinRowS
Java反序列化6-Fastjson JdbcRowSetImpl 及后续漏洞分析
weixin_43263451的博客
07-18 1566
上一节讲了TemplatesImpl利用方式,但是呢其局限性较大需要后端开启Feature.SupportNonPublicField且因为Feature.SupportNonPublicField是在fastjson1.2.22版本才引入所以只影响1.2.22-1.2.24版本fastjson这里的JdbcRowSetImpl比TemplatesImpl利用范围更大一点后面版本的fastjson漏洞都是在绕过黑名单,所以在本文中一次全部陈述总结前言.前言.前言。............
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
Hessian 反序列化及相关利用
晓得哥的博客
02-29 2398
作者:Longofo@知道创宇404实验室 时间:2020年2月20日 原文地址:https://paper.seebug.org/1131/#_2 前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apa...
FastJson<=1.2.24 JdbcRowSetImpl利用链分析
weixin_45682070的博客
12-29 3381
前言 上文分析了TemplatesImpl利用,对fastjson parseObject函数进行了分析,明白了整个触发漏洞的流程,接着来学习JdbcRowSetImpl 利用JdbcRowSetImpl利用在实际运用中较为广泛,这个基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。这条主要利用setAutoCommit方法调用InitialContext.lookup并且参数是未经过滤dataSourceName,导致JNDI注入,造成命令执行。其中涉及了JDNI
Fastjson JdbcRowSetImpl利用学习
虚幻私塾
04-15 1461
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 JdbcRowSetImpl 接着继续学习fastjson的第二条JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体set
1.2.24 Fastjson反序列化TemplatesImplJdbcRowSetImpl利用链分析(非常详细)
dreamthe的博客
07-07 2325
本文的关于Fastjson1.2.24版本TemplatesImpl利用的分析非常详细,如果你不是很熟悉该利用,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
Java代码审计——Fastjson JdbcRowSetImpl调用
王嘟嘟的博客
12-09 1257
0x00 前言 反序列化总纲 单独的把fastjson的调用拎出来进行分析。 fastjson可参考:https://blog.csdn.net/qq_36869808/article/details/121697765?spm=1001.2014.3001.5501 0x01 JdbcRowSetImpl 这里要是需要使用JNDI就必须通过lookup方法,这个参考:待填坑。 首先来看fastjson payload,有两个参数:一个是dataSourceName,另外一个是autoCommit {"@
14-java安全——fastjson1.2.24反序列化JdbcRowSetImpl利用链分析
网络安全
09-01 829
fastjson在1.2.24版本中,除了TemplatesImpl之外,还有一个JdbcRowSetImpl利用JdbcRowSetImpl有两种利用方式:一种是RMI和JNDI利用方式,另一种是JNDI和LDAP利用方式,关于JNDI的相关概念之前在java安全基础中已经介绍过了,而且底层原理已经分析过了,大家可自行参考以下文章。 4-java安全基础——RMI远程调用 5-java安全基础——RMI和JNDI实现漏洞利用 6-java安全基础——JNDI和LDAP利用 1. RMI
JAVA反序列化学习5】fastjson反序列化JdbcRowSetImpl类JNDI注入分析
GX233的博客
06-01 932
fastjson反序列化JdbcRowSetImpl类JNDI注入
【Web】浅聊Hessian反序列化之打Rome出网&不出网
最新发布
uuzeray的博客
03-12 1016
正如我们前文所说,当Hessian反序列化Map类型的对象的时候,会自动调用其put方法,而put方法又会牵引出各种相关利用打法。map.put对于HashMap会触发key.hashCode()。利用到hashCode的子有很多,如CC6和Rome相关,但很遗憾的是CC6因为一些原因无法使用,后面会出一篇文章专门讲其原因。本文主要讲一下Rome出网和不出网的两种利用方式。
JDBC数据集(RowSet)--- JdbcRowSet
CodeWoods
09-04 1849
转载地址:http://hi.baidu.com/wtx521/item/62f5c8460fc7803bfa8960af JdbcRowSet对象实际上是一个加强版的ResultSet对象。就像ResultSet对象一样,它维持一个到数据源的连接。最大的不同在于它有一系列的属性设置和一套事件监听机制。JdbcRowSet的最大用途是它使一个原本不支持数据库游标滚动或更新操作的Resul
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用链分析(TemplatesImpl,JdbcRowSetImpl
m0_64685672的博客
02-03 2834
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化和反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;
hibernate反序列化漏洞详解:金蛇剑利用深度剖析
文章的核心内容聚焦在Hibernate的反序列化安全问题上,特别是在`org.hibernate.property.BasicPropertyAccessor`中的`BasicGetter`类,其get函数涉及到了潜在的安全风险。作者注意到,利用全局搜索`invoke`关键字,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值