首页 > 编程语言 >Java反序列化利用链篇 | JdbcRowSetImpl利用链分析

Java反序列化利用链篇 | JdbcRowSetImpl利用链分析

时间:2024-09-22 23:24:40浏览次数:9  
标签:Java 链分析 getConnection DataSource JdbcRowSetImpl 序列化 方法 connect

JdbcRowSetImpl利用链

前言

首先说明一下:利用链都有自己的使用场景,要根据场景进行选择不同的利用链。

JdbcRowSetImpl利用链用于fastjson反序列化漏洞中。

为什么?

因为fastjson会在反序列化类时自动调用set开头的方法(不一定是setter方法),而JdbcRowSetImpl中存在一个set开头的方法,即setAutoCommit(),该这个方法中调用了connect()方法,connect()方法返回值是Connection类,返回值是由DataSource.getConnection()产生,作用是向“数据源”发起连接(Java中的Connection接口类是用于建立与数据库之间的连接的)。而这个“数据源”是可控的。

JdbcRowSetImpl利用链分析

setAutoCommit()方法代码如下:

可以看到,当this.conn为null时,会调用connect()方法,然后赋值给this.conn。也就是说肯定会调用connect()方法执行。

connect()方法代码如下:

主要是下面这段代码:如果this.getDataSourceName()有值的时候会进入

InitialContext var1 = new InitialContext();
DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());
return this.getUsername() != null && !this.getUsername().equals("") ? var2.getConnection(this.getUsername(), this.getPassword()) : var2.getConnection();

这段代码大概意思是执行InitialContext.lookup(this.getDataSourceName())返回一个数据源对象DataSource,然后再调用getConnection()方法,返回一个Connection对象。

大概理解为:向数据源DataSource发起了获取请求。

而这个数据源DataSource是由this.getDataSourceName()决定的,那接下来看一看这个方法做了什么:

原来是返回this.dataSource值,这个值从哪来呢?

通过搜索,发现是由setDataSourceName()方法来设置,值为该方法的参数值。

接下来,看看在哪里调用了该方法:通过搜索发现并没有位置调用它。

想一下:没有地方调用,这个this.dataSource值怎么来?又怎么完成上述的过程呢?

别急,setDataSourceName()方法不刚好是“set”开头的嘛,所以可以利用fastjson反序列化来触发。

这样一来,整个思路就通了:

  • 我们想执行恶意操作,关键是如何才能成功执行DataSource.getConnection(),因为该方法结合JNDI是可以远程加载资源的(JNDI注入)。
  • 想执行这个操作,需要使用到JdbcRowSetImpl中的setAutoCommit()setDataSourceName()这两个方法。
  • 其中setAutoCommit()方法用于执行connect(),进而执行DataSource.getConnection()操作。
  • setDataSourceName()方法是为了获取到DataSource,使getConnection()可以顺利执行。
  • setAutoCommit()setDataSourceName()这两个方法,都是“set”开头的,所以fastjson在反序列化的时候,都可以自动执行。

因此fastjson反序列化漏洞是可以结合JdbcRowSetImpl来完成利用的!

标签:Java,链分析,getConnection,DataSource,JdbcRowSetImpl,序列化,方法,connect
From: https://www.cnblogs.com/leyilea/p/18426095

相关文章