MySQL JDBC中detectCustomCollations触发点不同版本的差异分析<\/h1>

概述<\/h2>
本文详细分析MySQL JDBC驱动中`detectCustomCollations<\/code>触发点在不同版本中的差异，以及如何利用该特性进行反序列化攻击。该技术是JDBC Attack中对MySQL利用的两种主要方式之一（另一种是通过queryInterceptors<\/code>）。<\/p>`

背景知识<\/h2>
在MySQL JDBC攻击中，通过detectCustomCollations<\/code>触发反序列化的原理是：当JDBC客户端连接恶意MySQL服务器时，服务器可以返回特制的序列化数据，在某些版本的JDBC驱动中会触发反序列化操作，从而导致RCE。<\/p>
版本差异分析<\/h2>
1. 5.1.18及以下版本<\/h3>

行为<\/strong>：对SHOW COLLATION<\/code>返回的结果未使用<\/strong>getObject()<\/code><\/li>
结论<\/strong>：无法<\/strong>触发反序列化<\/li>
<\/ul>
2. 5.1.19-5.1.39版本<\/h3>

处理逻辑<\/strong>：

对SHOW COLLATION<\/code>返回结果调用Util.resultSetToMap<\/code>进行处理<\/li>
resultSetToMap<\/code>与ServerStatusDiffInterceptor<\/code>相同<\/li>
最终走到ResultSetImpl#getObject<\/code>触发反序列化<\/li>
<\/ol>
<\/li>
调用链<\/strong>：
detectCustomCollations -> Util.resultSetToMap -> ResultSetImpl#getObject
<\/code><\/pre>
<\/li>
结论<\/strong>：可以<\/strong>触发反序列化<\/li>
<\/ul>
3. 5.1.40-5.1.48版本<\/h3>


处理变化<\/strong>：<\/p>

不再直接调用ResultSetImpl#getObject<\/code><\/li>
但对SHOW COLLATION<\/code>结果的第三列<\/strong>直接调用results.getObject()<\/code><\/li>
最终仍进入ResultSetImpl#getObject<\/code><\/li>
<\/ul>
<\/li>

关键点<\/strong>：<\/p>

当字段类型为-4(blob)、-3(bit)、-2(binary)时，会进入getObjectDeserializingIfNeeded<\/code>方法<\/li>
需要修改恶意MySQL服务器代码，将第三个字段填充为序列化数据<\/li>
<\/ul>
<\/li>

触发条件<\/strong>：<\/p>

需要在连接URL中设置autoDeserialize=true<\/code><\/li>
<\/ul>
<\/li>

结论<\/strong>：可以<\/strong>触发反序列化<\/p>
<\/li>
<\/ul>
4. 5.1.49版本<\/h3>

行为<\/strong>：真正没有<\/strong>调用getObject()<\/code><\/li>
结论<\/strong>：无法<\/strong>触发反序列化<\/li>
<\/ul>
5. 6.0.2-6.0.6版本<\/h3>


处理变化<\/strong>：<\/p>

又直接调用ResultSetUtil.resultSetToMap<\/code><\/li>
回到ServerStatusDiffInterceptor<\/code>那条链<\/li>
<\/ul>
<\/li>

结论<\/strong>：可以<\/strong>触发反序列化<\/p>
<\/li>
<\/ul>
6. 8.x版本<\/h3>

行为<\/strong>：获取SHOW COLLATION<\/code>时处理方式改变<\/li>
结论<\/strong>：无法<\/strong>利用该点触发反序列化<\/li>
<\/ul>
利用方法总结<\/h2>


可触发版本范围<\/strong>：<\/p>

5.1.18 < version ≤ 6.0.6（不包括<\/strong>5.1.49）<\/li>
<\/ul>
<\/li>

恶意服务器配置<\/strong>：<\/p>

需要修改代码将第三个字段填充为yso序列化的数据<\/li>
对于5.1.40+版本，需要确保第三列数据类型为blob\/bit\/binary<\/li>
<\/ul>
<\/li>

客户端配置<\/strong>：<\/p>

在连接URL中设置autoDeserialize=true<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

升级到不受影响的JDBC驱动版本（8.x或5.1.49）<\/li>
避免使用不受信任的MySQL服务器<\/li>
检查连接URL中是否设置了autoDeserialize=true<\/code><\/li>
<\/ol>
参考实现<\/h2>
恶意MySQL服务器需要实现以下功能：<\/p>

响应SHOW COLLATION<\/code>命令<\/li>
在返回结果中：

对于5.1.19-5.1.39：填充序列化数据到适当字段<\/li>
对于5.1.40+：确保第三列是blob\/bit\/binary类型并包含序列化数据<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
了解MySQL JDBC驱动在不同版本中对detectCustomCollations<\/code>的处理差异对于安全研究和防御都至关重要。攻击者可以利用这些差异构造特定的攻击载荷，而防御者则需要根据这些信息选择合适的防御策略。<\/p>

MySQL JDBC中detectCustomCollations触发点不同版本的差异分析<\/h1>

概述<\/h2> 本文详细分析MySQL JDBC驱动中detectCustomCollations<\/code>触发点在不同版本中的差异，以及如何利用该特性进行反序列化攻击。该技术是JDBC Attack中对MySQL利用的两种主要方式之一（另一种是通过queryInterceptors<\/code>）。<\/p>

总结<\/h2> 了解MySQL JDBC驱动在不同版本中对detectCustomCollations<\/code>的处理差异对于安全研究和防御都至关重要。攻击者可以利用这些差异构造特定的攻击载荷，而防御者则需要根据这些信息选择合适的防御策略。<\/p>

概述<\/h2>
本文详细分析MySQL JDBC驱动中`detectCustomCollations<\/code>触发点在不同版本中的差异，以及如何利用该特性进行反序列化攻击。该技术是JDBC Attack中对MySQL利用的两种主要方式之一（另一种是通过queryInterceptors<\/code>）。<\/p>`

总结<\/h2>
了解MySQL JDBC驱动在不同版本中对`detectCustomCollations<\/code>的处理差异对于安全研究和防御都至关重要。攻击者可以利用这些差异构造特定的攻击载荷，而防御者则需要根据这些信息选择合适的防御策略。<\/p>`