JDBC反序列化初步学习

最新推荐文章于 2024-05-06 16:45:40 发布
最新推荐文章于 2024-05-06 16:45:40 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 代码审计 java安全 文章标签: mysql 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121748198
版权
本文介绍了JDBC反序列化漏洞的原理和复现过程。当JDBC连接URL可控时,结合特定的数据库交互,可能导致反序列化攻击。通过调整连接属性和构造恶意MySQL服务器,可以触发反序列化链,利用ResultSetImpl对象进行反序列化操作。虽然已理解大致机制,但仍有部分细节待深入研究。
摘要由CSDN通过智能技术生成

JDBC反序列化初步学习

当在JDBC连接数据库的URL可控,且服务器存在可以利用的反序列化链,这时就可能存在反序列化漏洞

复现环境

JDK8 + Mysql 8.0

JDBC Maven

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>8.0.12</version>
</dependency>

JDBC连接数据库代码

package org.vul;

import java.sql.DriverManager;

public class JDBC {
   
    public static void main(String[] args) throws Exception{
   
        Class.forName("com.mysql.cj.jdbc.Driver");
        String url = "jdbc:mysql://127.0.0.1:3309/jdbc?characterEncoding=utf8&useSSL=false&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&autoDeserialize=true&serverTimezone=UTC";
        String username = "root";
        String password = "root";
        DriverManager.getConnection(url,username,password);
    }
}

漏洞分析

连接数据库URL中关键的地方就三个

  1. url中的目标地址是可控的,那么连接到哪个mysql服务就可控,可以编写一个恶意的mysql服务,这个后面会提到
  2. queryInterceptors属性相当于一个拦截器,连接代码中指定为com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor类,当执行数据库查询操作时,就经过ServerStatusDiffInterceptor类的postProcess和preProcess方法,在连接数据库时也会调用到preProcess方法
  3. autoDeserialize属性是利用反序列化需要用到的,这个后面会提,剩下的useSSL这些属性都是为了防止连接数据库时报错加上去的!

漏洞产生点就在ServerStatusDiffInterceptor#preProcess方法上
image-20211206145422017
跟进一下populateMapWithSessionStatusValues方法,这里执行了一个SHOW SESSION STATUS查询操作,然后调用resultSetToMap方法,并把查询结果作为方法的参数。前面不是提到url中的目标地址可控吗,那么就可以编写一个恶意mysql服务器,让服务器在客户端查询SHOW SESSION STATUS时返回的内容可控
image-20211206145748388
跟进resultSetToMap方法,调用rs.getObject方法,rs就是查询SHOW SESSION STATUS返回的结果,那么我们编写恶意mysql服务器让其返回ResultSetImpl对象,就可以调用到ResultSetImpl#getObject方法,为什么选择这个对象?因为这个对象有反序列化操作!
image-20211206150112774
跟进ResultSetImpl#getObject方法,一系列的操作最终会执行到反序列化操作,而反序列化的内容data变量可以通过编写的恶意mysql服务器控制!然后就是看前面的一系列判断条件了,通过columnIndexMinusOne获取field,columnIndexMinusOne又是通过columnIndex计算出来的,调试的时候columnIndex为2,columnIndexMinusOne为1,也就是上一步的第二次调用getObject方法才进入反序列化。然后判断field的类型,当field类型为BIT或者BLOB类型时(case BLOB里面的代码跟case BIT是一样的),通过col

最低0.47元/天 解锁文章
0x6b79
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
追洞小组 | Jdbc反序列化漏洞复现浅析
Ms08067安全实验室
05-10 587
文章来源|MS08067 WEB攻防知识星球本文作者:爱吃芝士的小葵(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组目录1、前言+靶场搭建2、漏洞复现3、漏洞分析4、漏...
MySQL JDBC 客户端反序列化漏洞分析 - 安全客,安全资讯平台2
08-03
5.1.18以下未使getObject式进获取,同样法使此法: 5.1.10及以下的5.1.X版本:同上,但是需要连接后执查询 5.1.41及以上:不可 5.1
简单的JDBC反序列化复现
qq_43936524的博客
05-07 4457
文章目录漏洞环境复现代码客户端脚本启动服务器MySQL_Fake_Server服务器 漏洞环境 jdk 1.8.152 需要的依赖库commons-collections 3.1作为本地Gadget JDBC利用采用8.0的版本 <dependencies> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java&l
MySQL-JDBC-Deserialization-Payload:MySQL JDBC反序列化有效负载MySQL客户端jdbc反序列化漏洞有效负载
03-21
MySQL JDBC反序列化有效负载/ MySQL客户端jdbc反序列化漏洞 描述 当MySQL JDBC url可控时,除能利用MySQL协议读取MySQL客户端的本地文件之外,还可以利用客户端在连接服务器时会反序列化服务器返回的二进制数据,从而触发反序列化漏洞。 详情 1.安装rewrite插件 以下安装方式补充其一 【补充】编译插件 下载的mysql-28年7月5日源码到/root/mysql-5.7.28, rewrite_example.cc见仓库 gcc -shared -Wall -fPIC -o /usr/lib/mysql/plugin/rewrite_example.so rewrite_example.cc -I/root/mysql-5.7.28/include $( mysql_config --cflags ) $( mysql_config --
网络安全最全网络安全-JDBC反序列化漏洞与RCE_jdbc rce
2401_84265972的博客
05-04 963
没有docker-compose的读者可以使用。
mysql反序列化_mysql jdbc 反序列化漏洞测试
weixin_32773101的博客
01-25 298
create database if not exists ceshi;create table if not exists ceshi.objs(id int, obj blob);set @a=0xaced00057372002e6a617661782e6d616e6167656d656e742e42616441747472696275746556616c7565457870457863657...
S23-MySQL-JDBC反序列化1
08-03
MySQL-JDBC反序列化漏洞是一种安全风险,出现在MySQL的Java驱动程序中,允许攻击者通过特定的JDBC连接参数触发反序列化过程,可能导致远程代码执行。这种漏洞主要利用了MySQL Connector/J,它是MySQL数据库与Java...
Java JDBC导致的反序列化攻击原理解析
08-25
Java JDBC 导致的反序列化攻击原理解析是指 Java 语言中使用 JDBC 连接 MySQL 数据库时,攻击者可以通过特定的 JDBC URL 格式和 Properties 设置,触发反序列化攻击从而获取服务器敏感信息的漏洞。 首先,我们需要...
C3P0反序列化学习.doc
07-09
C3P0反序列化学习主要涉及的是Java中的反序列化漏洞利用,尤其是在Web应用程序中。C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,提供了灵活的配置和监控功能。在某些情况下,如果应用程序不正确地处理...
从一道题来看JDBC反序列化漏洞([羊城杯-2020]A-Piece-Of-Java)
qq_42585535的博客
04-19 713
本文从一道题目来分析JDBC反序列化漏洞及利用
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
#### 简单实例//从 mysql-connector-java 6开始// mysql-connector-java 5//1.加载启动//2.建连接//3
网络安全-JDBC反序列化漏洞与RCE
关注网络安全、云原生安全
04-16 2900
可以看到执行语句后,在生成结果集时使用了ResultUtil的resultSetToMap函数,继续点击去,可以看到使用了getObject和readObject,而readObject就在反序列化时自动调用。Y4tacker师傅的脚本会读取a文件,没有的话就使用默认的,也能达到RCE的效果,这个在url中就不必指定user了。这里只需要连接就行,没有安装的话可以使用Java的mysql jdbc包连接也可以。虽然演讲者给出了调用链,但是没有提供恶意服务器,这就需要我们抓包,编写一个假的服务器。
Java反序列化漏洞——jdbc反序列化漏洞利用
Thunderclap的博客
03-08 1077
如果攻击者能够控制JDBC连接设置项,那么就可以通过设置其指向恶意MySQL服务器进行ObjectInputStream.readObject()的反序列化攻击从而RCE。
深入探究网络安全JDBC反序列化漏洞与远程代码执行(RCE)
白帽黑客佳哥的博客
04-23 906
Java开发环境:安装Java SDK以运行和编译JDBC相关代码。MySQL数据库服务器:用于正常的数据库操作,同时用于攻击演示的Fake MySQL Server。网络抓包工具:如Wireshark,用于捕获和分析MySQL协议数据包。
mysql 序列_MySQL JDBC客户端反序列化漏洞
weixin_39811193的博客
11-25 314
标题: MySQL JDBC客户端反序列化漏洞☆背景介绍☆学习思路☆搭建测试环境☆恶意MySQL插件1)获取MySQL5.7.28源码2)在rewrite_example基础上修改出evilreplace☆测试rewriter插件1)安装rewriter.so2)在服务端替换SQL查询语句3)卸载rewriter.so...
Mysql JDBC反序列化漏洞
why811的博客
10-25 550
根据梅子酒师傅的笔记,可以知道,这是blackhat2019上的一个议题。
2024年最新网络安全-JDBC反序列化漏洞与RCE_jdbc rce(1),2024年最新附大厂真题面经
最新发布
2401_84264692的博客
05-06 986
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
[JAVA安全]JDBC反序列化漏洞
snowlyzz的博客
02-04 1484
JDBC反序列化调试分析
MySQL JDBC 客户端反序列化漏洞深度剖析:控制连接引发风险
MySQL JDBC 客户端反序列化漏洞是一种安全威胁,涉及到Java Deserialization Attack的一种新技巧,于2019年Black Hat Europe会议上被讨论。这种漏洞利用发生在MySQL JDBC驱动程序的特定版本中,尤其是5.1.18及以下的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值