ycx's blog

漏洞描述

Apache InLong 是开源的高性能数据集成框架，用于业务构建基于流式的数据分析、建模和应用。

受影响版本中，由于 MySQLSensitiveUrlUtils 类只限制了?形式的JDBC连接字符串参数，攻击者可通过()规避?引入autoDeserialize、allowLoadLocalInfile等额外的参数。并通过#注释后续内容，绕过从而此前修复过滤逻辑，在连接攻击者可控的服务地址时，攻击者可利用该漏洞远程执行任意代码。

题目总览

考察在truestSerialData关闭的场景下通过jndi:ldap协议打本地工厂类的绕过

题目环境是其他师傅自己写出来的，题目本身无附件，只能通过heapdump进行相关的分析，在actuator/env中设置truestSerialData为false

然后依赖中是有tomcat-jdbc-9.0.83.jar以及h2-2.1.214.jar两个依赖

cc链

就是一个3.1的cc依赖，然后有个反序列化接口

首先在你的项目中输出一个phpinfo()

影子账户

通过如下命令创建隐藏用户并加入管理员组

1
2

net user hide$ 123456 /add
net localgroup administrators hide$ /add

环境搭建

参考：https://www.penson.top/article/av40

何为T3协议

T3 协议其实是 Weblogic 内独有的一个协议，在 Weblogic 中对 RMI 传输就是使用的 T3 协议。在 RMI 传输当中，被传输的是一串序列化的数据，在这串数据被接收后，执行反序列化的操作。

Java数据库的连接方式大致有三种：JDBC，Mybatis，和Hibernate

漏洞详情

nginxWebUI是一款图形化管理nginx配置的工具, 可以使用网页来快速配置nginx的各项功能, 包括http协议转发,tcp协议转发, 反向代理, 负载均衡, 静态html服务器, ssl证书自动申请、续签、配置等, 配置好后可一建生成nginx.conf文件, 同时可控制nginx使用此文件进行启动与重载, 完成对nginx的图形化控制闭环.

nginxWebUI由于未对用户的输入进行严格过滤，导致任意命令执行漏洞。该漏洞利用条件简单，漏洞危害较高。

CC11链其实是CC2链+CC6链，主要解决用于shiro-550中反序列化非原生数组会出现无法加载类的问题

什么是Java Agent？

java agent 是 Java 程序，可以通过在 Java 虚拟机（JVM）启动时提供参数来加载和运行。它可以通过 java.lang.instrument 包提供的 Java 标准接口进行代码插桩（字节码插桩），从而在 Java 应用程序的类加载和运行期间改变 Java 字节码。而java agent内存马就是利用这个特性产生。