hutool组件下dynamic proxy和JDBC的部分可用链

2025-03-20 40 0

前言

本文中主要集中在hutool这一常用组件中,在动态代理以及JDBC attack这两个角度在利用过程中可能存在的一部分链子

动态代理

hutool介绍页面中涉及了hutool对JDK动态代理的封装支持

https://github.com/dromara/hutool

查看在组件hutool下的InvocationHandler实现

其中存在有四个类对其进行了实现,具体如下:

hutool组件下dynamic proxy和JDBC的部分可用链插图

分别查看这四个类的invoke方法实现,存在有以下利用的可能

JdkInterceptor

hutool组件下dynamic proxy和JDBC的部分可用链插图1

在其invoke方法的实现中,其能够反射调用代理类的对应方法,这个类和在spring-aop中的一个比较常用的代理类JdkDynamicAopProxy的作用相同,均能够反射调用代理对象的方法,下图为JdkDynamicAopProxy#invoke的实现

hutool组件下dynamic proxy和JDBC的部分可用链插图2

  1. 这类代理类在JSON1链中也存在身影

  2. 同样在https://mp.weixin.qq.com/s/gl8lCAZq-8lMsMZ3_uWL2Q文中绕过高版本的getter触发问题是,也采用了代理类的方式进行绕过,类似的,这里我们也可以利用JdkInterceptor类进行绕过
    hutool组件下dynamic proxy和JDBC的部分可用链插图3
    可将其换成JdkInterceptor类

  3. 还有就是在处理jackson getter触发不稳定是,通过代理目标对象进行更稳定的getter触发
    hutool组件下dynamic proxy和JDBC的部分可用链插图4
    同样可以替换成JdkInterceptor类进行处理

  4. 等等类似上面的场景,需要代理一个类进行类方法执行都可以使用JdkInterceptor作为一部分进行利用

JDBC

其同样存在有数据库相关支持,全局搜索getDataSource调用

在hutool组件中存在有15个类存在getDataSource方法的实现

hutool组件下dynamic proxy和JDBC的部分可用链插图5


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

HTB-Devvortex-WriteUp
WEB漏洞——越权
新型SectopRAT木马利用Cloudflare验证系统攻击Windows用户
医疗行业网络安全现状令人担忧
2025年全球网络安全支出预计增长12.2%
九个存在九年的npm软件包遭劫持 通过混淆脚本窃取API密钥

发布评论