某报表玩坏的反序列化漏洞

文章预览

起因 某次护网应急响应,发现了最新版的某报表的被打掉了,日记记录channel触发的反序列化进行攻击的,和springkill大哥一起愉快调试两天了,想着已经玩了一个多月,差不多见光死了,就和大家分享下得了。 历史漏洞 某报表channel反序列化漏洞历史爆出三个链子,一个cb, 一个singobject的二次反序列,,一个Hibernate。 下载最新版v10（当时是5月）,查找黑名单 com/fr/serialization/blacklist.txt com.fr.third.alibaba.druid.pool.xa.DruidXADataSource 这边直接去找getter触发,找DruidXADataSource这个类非常合适,且不在黑名单里面。 这个类可以控制sql库的服务, 链接url,以及查询语句,很容易就能想到利用druid去打jdbc。 可以看见没啥毛病。 既然打jdbc,就很多都能打了,实战中还得看服务器存在哪些数据库依赖。 可以参考su18的 https://su18.org/post/jdbc-connection-url-attack/。 既然要用getter去触发,也不在黑名单 ………………………………