从零开始挖掘新利用链的完整指南<\/h1>

前言<\/h2>
本文详细记录了在挖掘hutool组件漏洞时，如何通过不断调试分析构造POC并最终实现RCE的完整过程。文章将涵盖从最初的失败调用到最终成功利用的每个关键步骤。<\/p>

1. 初始发现与问题定位<\/h2>

1.1 失败的调用尝试<\/h3>
最初尝试构造POC时发现无法调用预期的getter方法，这促使了对利用链的深入调试分析。<\/p>

1.2 关键sink点分析<\/h3>

PooledDSFactory<\/strong>类中的关键sink点位于：<\/p>

getDataSource()<\/code>方法调用父类的getDataSource()<\/code><\/li> 进而调用createDataSource()<\/code>方法<\/li> 实例化PooledDataSource<\/code>类<\/li> 实例化过程中会触发JDBC连接<\/li> <\/ul> <\/li> <\/ul> 2. 问题分析与调试<\/h2> 2.1 初始POC失败原因<\/h3> 使用初始POC无法造成连接的原因是：<\/p> 实例化PooledDataSource<\/code>对象时，while<\/code>循环不会进入<\/li> initialSize-- > 0<\/code>条件不满足这是一个后置递减运算符与比较运算的组合<\/li> 先使用当前值比较，再减1<\/li> 初始值为0，直接跳过循环<\/li> <\/ul> <\/li> <\/ul> 2.2 变量溯源<\/h3> initialSize<\/code>来源于DbConfig<\/code><\/li> DbConfig<\/code>的变量赋值在createDataSource()<\/code>方法中<\/li> 最终来源于poolSetting.getInt()<\/code>方法默认返回0<\/li> <\/ul> <\/li> <\/ol> 3. 解决方案探索<\/h2> 3.1 尝试修改DbConfig<\/h3> 发现DbConfig<\/code>没有继承反序列化接口，无法直接反射修改，因为：<\/p> 即使修改了，反序列化过程中也不会自动应用修改<\/li> <\/ul> 3.2 寻找被动修改点<\/h3> 分析poolSetting.getInt()<\/code>方法逻辑：<\/p> 默认返回0<\/li> 如果有其他值则不会返回0<\/li> 关键逻辑：获取value<\/code>通过getByGroup<\/code><\/li> 使用defaultIfNull<\/code>方法如果value<\/code>不为空，则返回value<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 解决方案：<\/p> 反射修改poolSetting<\/code>属性中的值，使value<\/code>不为空<\/li> <\/ul> 3.3 成功实现RCE<\/h3> 通过反射修改后成功触发H2数据库的RCE，调用栈显示触发了计算器。<\/p> 4. 其他利用链分析<\/h2> 4.1 JndiDSFactory利用<\/h3> 利用点<\/strong>：<\/p> 调用getJndiDs()<\/code>会直接触发JNDI连接<\/li> <\/ul> 问题解决<\/strong>：<\/p> Assert.notNull异常<\/strong>：<\/p> 实例化JndiDSFactory<\/code>时传入的class为null<\/li> 解决方案：反射实例化，绕过构造函数<\/li> <\/ul> <\/li> AbstractDSFactory空指针<\/strong>：<\/p> getDataSource()<\/code>过程中dsMap<\/code>为空<\/li> 解决方案：反射修改属性<\/li> <\/ul> <\/li> JDBC URL设置<\/strong>：<\/p> 需要设置任意值的jdbc url<\/li> sink核心在JNDI，url值不影响利用<\/li> <\/ul> <\/li> <\/ol> 4.2 SimpleDSFactory分析<\/h3> 调用createDataSource()<\/code>会实例化SimpleDataSource<\/code><\/li> 但整个过程不会触发JDBC连接<\/li> 因此无法利用<\/li> <\/ul> 5. 完整利用链总结<\/h2> 5.1 PooledDSFactory利用链<\/h3> 通过反射修改poolSetting<\/code>属性<\/li> 确保initialSize<\/code>值不为0<\/li> 触发createDataSource()<\/code>方法<\/li> 实例化PooledDataSource<\/code>时触发JDBC连接<\/li> 实现RCE<\/li> <\/ol> 5.2 JndiDSFactory利用链<\/h3> 反射实例化JndiDSFactory<\/code>绕过构造函数限制<\/li> 反射设置必要的属性值<\/li> 调用getJndiDs()<\/code>触发JNDI连接<\/li> 实现RCE<\/li> <\/ol> 6. 关键代码片段<\/h2> 6.1 反射修改属性<\/h3> \/\/ 反射修改poolSetting属性 <\/span><\/span><\/span><\/span>Field poolSettingField =<\/span> PooledDSFactory.<\/span>class<\/span>.<\/span>getDeclaredField<\/span>(<\/span>"poolSetting"<\/span>);<\/span> <\/span><\/span>poolSettingField.<\/span>setAccessible<\/span>(<\/span>true<\/span>);<\/span> <\/span><\/span>\/\/ 设置修改后的poolSetting对象 <\/span><\/span><\/span><\/code><\/pre>6.2 绕过构造函数限制<\/h3> \/\/ 反射实例化JndiDSFactory <\/span><\/span><\/span><\/span>Constructor<<\/span>JndiDSFactory><\/span> constructor =<\/span> JndiDSFactory.<\/span>class<\/span>.<\/span>getDeclaredConstructor<\/span>();<\/span> <\/span><\/span>constructor.<\/span>setAccessible<\/span>(<\/span>true<\/span>);<\/span> <\/span><\/span>JndiDSFactory instance =<\/span> constructor.<\/span>newInstance<\/span>();<\/span> <\/span><\/span><\/code><\/pre>6.3 设置必要属性<\/h3> \/\/ 反射设置dsMap <\/span><\/span><\/span><\/span>Field dsMapField =<\/span> AbstractDSFactory.<\/span>class<\/span>.<\/span>getDeclaredField<\/span>(<\/span>"dsMap"<\/span>);<\/span> <\/span><\/span>dsMapField.<\/span>setAccessible<\/span>(<\/span>true<\/span>);<\/span> <\/span><\/span>dsMapField.<\/span>set<\/span>(<\/span>instance,<\/span> new<\/span> HashMap<>());<\/span> <\/span><\/span><\/code><\/pre>7. 经验总结<\/h2> 深入理解sink点<\/strong>：必须完全理解sink点的触发条件和执行路径<\/li> 变量溯源<\/strong>：从失败点反向追踪变量来源，找到可控点<\/li> 反射技巧<\/strong>：熟练掌握反射技术可以绕过许多限制<\/li> 异常处理<\/strong>：每个异常都是线索，需要分析原因并找到解决方案<\/li> 多路径尝试<\/strong>：一个利用链失败时，尝试寻找其他可能的利用路径<\/li> <\/ol> 通过这种系统化的分析和调试方法，可以有效地从零开始挖掘新的利用链并构造有效的POC。<\/p>

从零开始挖掘新利用链的完整指南<\/h1>

前言<\/h2> 本文详细记录了在挖掘hutool组件漏洞时，如何通过不断调试分析构造POC并最终实现RCE的完整过程。文章将涵盖从最初的失败调用到最终成功利用的每个关键步骤。<\/p>

1. 初始发现与问题定位<\/h2>

1.1 失败的调用尝试<\/h3> 最初尝试构造POC时发现无法调用预期的getter方法，这促使了对利用链的深入调试分析。<\/p>

2. 问题分析与调试<\/h2>

3. 解决方案探索<\/h2>

3.3 成功实现RCE<\/h3> 通过反射修改后成功触发H2数据库的RCE，调用栈显示触发了计算器。<\/p>

4. 其他利用链分析<\/h2>

5. 完整利用链总结<\/h2>

6. 关键代码片段<\/h2>

前言<\/h2>
本文详细记录了在挖掘hutool组件漏洞时，如何通过不断调试分析构造POC并最终实现RCE的完整过程。文章将涵盖从最初的失败调用到最终成功利用的每个关键步骤。<\/p>

1.1 失败的调用尝试<\/h3>
最初尝试构造POC时发现无法调用预期的getter方法，这促使了对利用链的深入调试分析。<\/p>

3.3 成功实现RCE<\/h3>
通过反射修改后成功触发H2数据库的RCE，调用栈显示触发了计算器。<\/p>