本项目汇总了JDBC安全研究成果,专注于特殊URL构造技术与不出网反序列化利用方法的探索与实践。
议题PPT附件: 深入JDBC安全:特殊URL构造与不出网反序列化利用技术揭秘.pptx
jdbc-tricks/
├── LICENSE
├── README.md
├── dump-mysql-properties/ mysql驱动默认安全属性分析
├── jdbc-test-case/ # JDBC测试用例集合
已知tricks:
- default properties :默认属性绕过
- multi host :多host写法绕过
- space between :键值插入空格绕过
- tab between :键值插入 \t 等制表符绕过
- upper case :键值大写绕过
会议公开内容:
- no-outbound:jdbc不出网利用
- no-outbound-spring:jdbc不出网利用spring环境
- multi-host and equalsIgnoreCase bypass
- other-between
- QuoteBypass
- ReplicationBypass
非会议公开内容:
- bypass_max_allowed_packet 5.1.16版本示例
TODO
案例大纲: real-world-case/README.md
- 2025-04-20 L0ne1y 贡献案例集 real-world-case/2025-04-20-L0ne1y
tricks:
- cwkiller JDBC-PROXY-Bypass : 利用代理驱动绕过JDBC Attack检测
JDBC tools:
- rmb122 rogue_mysql_server : A rouge mysql server supports reading files from most mysql libraries of multiple programming languages.
欢迎贡献新的JDBC安全研究成果!请遵循以下步骤:
- Fork本项目
- 创建您的特性分支 (
git checkout -b feature/amazing-feature) - 提交您的更改 (
git commit -m '添加一些功能') - 推送到分支 (
git push origin feature/amazing-feature) - 打开Pull Request
本项目遵循项目根目录中 LICENSE 文件的规定。