mysql jdbc反序列化利用()

参考资料https://www.anquanke.com/post/id/203086

按照资料描述搭建环境,注意,如果使用8.0.28版本的mysql,服务端MySQL_Fake_Server会报错(ValueError(’45 is not a valid CharacterSet’)>),刚开始以为是匹配的python版本不对,把3.x的版本都装了一遍,才怀疑可能是mysql版本问题,花了不少时间。

具体的原因,还没分析出来。

切换到8.0.14版本后,能正常使用,通过allowInLocalInfile读取任意文件成功。

重现反序列化利用后失败,没找到相关资料,只能硬着头自己分析了。记录下过程。

1.

————————

参考资料https://www.anquanke.com/post/id/203086

按照资料描述搭建环境,注意,如果使用8.0.28版本的mysql,服务端MySQL_Fake_Server会报错(ValueError(’45 is not a valid CharacterSet’)>),刚开始以为是匹配的python版本不对,把3.x的版本都装了一遍,才怀疑可能是mysql版本问题,花了不少时间。

具体的原因,还没分析出来。

切换到8.0.14版本后,能正常使用,通过allowInLocalInfile读取任意文件成功。

重现反序列化利用后失败,没找到相关资料,只能硬着头自己分析了。记录下过程。

1.