新闻资讯

一文教你学会java代码审计
发布日期:2024-10-14 13:44    点击次数:67

一、前置知识

本文主要讲解基础的代码审计思路与方法技巧,适合有一定java基础,无审计经验的同学学习。

二、漏洞挖掘

1、配置信息

先看pom.xml,了解到使用了哪个依赖库以及版本,从而可以确定是否存在漏洞。

图中Shiro<=1.2.4版本,存在shiro550反序列化漏洞,

图片

图片

application.yml

该配置文件可能存在数据库或其他组件的连接信息,如数据库连接信息。

图片

漏洞关键字:Fastjson <=1.2.83 Jackson <=2.9.2 POI < 3.11 DOS XXEShiro <= 1.24 Spring 5.0.x < 5.0.6 1Spring 4.3.x < 4.3.7

2、配置不当

2.1swagger接口文档泄露

图下的就是将com.sky.controller.admin包下的所有接口扫描成swagger接口调试文档。

图片

这就是访问swagger调试文档访问地址。

图片

图片

在项目审计中,swagger接口文档是不应该被用户访问的,接口文档可直接就是存在漏洞问题。

搜索关键字:doc.htmlswaggeraddResourceHandlersDocket

2.2 springboot-actuator接口未授权

这个配置确实是将所有 Actuator 端点都暴露出来,包括了 /actuator/* 下的所有端点。这意味着所有的监控和管理端点都会对外公开,包括健康检查、信息显示、配置信息、metrics 等。某些端点可能包含敏感信息,比如 /actuator/env 端点可能会暴露应用程序的环境变量。

图片

搜索关键字:management.endpoints.web.exposure.include=*endpoints.env.enabled=trueendpoints.enabled = truemanagementactuator

3.未授权访问

3.1过滤器:

该方法判断了请求url是否包含了/login.html或者register.html,如果包含就放行。

所以我们可以http://127.0.0.1/login.html/../admin/test的方法绕过过滤。

图片

关键字:doFilterFilter

3.2拦截器:

如果路径的开头是以/admin开头并且Session中的loginUser属性为 null,就会判断是否登录。

利用:构造结构路径为/;/admin或//admin后访问(不影响解析),即可绕过登录限制。

图片

关键字:InterceptoraddInterceptors

3.3shiro:

在shiro过滤器中对所有路径配置了anon匿名拦截器,即不需要认证校验。

图片

关键字:anonauthcshiro

4、SQL注入

现在大部分项目都是基于mybatis操作数据库,不使用预编译的情况就可能会导致sql注入漏洞。

简单介绍一下预编译与拼接:

占位符:#{},预编译指的是在执行 SQL 语句之前,先将 SQL 语句中的占位符(如 ?)替换为占位符对应的实际值,然后将这个已经编译好的 SQL 语句发送给数据库执行。

拼接符:${},可以用来替换 SQL 语句中的任何部分,包括表名、列名、条件等等。在执行 SQL 语句之前,MyBatis 会将 ${} 中的内容替换为相应的参数值,然后将得到的 SQL 语句发送给数据库执行。

mybatis中有些地方不能使用预编译的,这种场景下就容易出现sql注入漏洞:

动态 SQL 中的表名、列名:如果在动态 SQL 中使用 ${} 来表示表名、列名等标识符,因为这些标识符是在 SQL 解析阶段确定的,无法使用预编译参数来替换。动态 SQL 中的 SQL 语句片段:例如在 <sql> 或 <selectKey> 等元素中使用 ${},这些片段是在 SQL 解析阶段确定的,也无法使用预编译参数来替换。动态 SQL 中的 ORDER BY 字段:如果在 ORDER BY 子句中使用 ${} 来表示排序字段,因为排序字段是在 SQL 解析阶段确定的,同样无法使用预编译参数来替换。LIKE 操作中的模糊查询字符串:如果在 LIKE 操作中使用 ${} 来表示模糊查询的字符串,因为这个字符串是直接拼接到 SQL 语句中的,不会被预编译。

如图:模糊查询处无法直接使用预编译,直接使用预编译会报错。

图片

安全写法:使用concat将%%与预编译组合起来。

图片

根据此处的sql语句,跟进查看哪个函数调用了该sql。

图片

进行跟进

图片

发现了是page调用了list,而且name可控,继续跟进是哪个函数调用了page。

图片

发现了是controller层的page调用了,访问的接口为emps,即http://127.0.0.1/emps,而且name参数可控。

图片

漏洞点2:

order by后是无法使用预编译的,这种地方也容易存在sql注入。

图片

通过上面说的方法,一步一步跟,查看是那个访问接口调用了该sql语句(此处省略)

此处asc参数为漏洞点。

图片

输入asc=asc,id,(asc=asc,sql列名),回显正常。

图片

输入asc=asc,xxx,(asc=asc,不存在的sql列名),无回显数据。

图片

将数据包放到sqlmap跑一下

图片

图片

5.ssrf

现在大部分java代码中的ssrf漏洞都不支持伪协议,基本只能进行内网探测,危害也相对较低。

漏洞示例,httpclients:

图片

这段代码只支持http请求,无法进行伪协议。

关键字:HttpClientHttpClientsHttpURLConnectionopenConnection支持伪协议函数:openConnectionURLConnectionopenStream

6.文件操作类型漏洞

文件操作类型漏洞包括:文件上传,文件下载,文件读取,文件删除等。

漏洞示例:文件名file可控而且没有对后缀进行过滤,存在文件上传漏洞,文件操作类型漏洞在白盒中还是挺多的,大多都是文件上传目录穿越。

图片

图片

关键字:new FileOutputStreamdownloaduploadFile.createTempFiletransferTonew FileInputStreamIOUtils.readFullyIOUtils.writeFileReaderfs.openfile.exists()file.delete()

7.XXE

xxe漏洞现在已经不多了,遇到的次数也很少,一般出现在支持xml文件导入或者csv,xslx文件导入(POI组件)的地方。

漏洞示例:这段代码读取xml文件,但没有明确禁用外部实体解析,所以存在xxe漏洞。

图片

修复方法:

SAXReader reader = new SAXReader();// 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击setFeature('http://apache.org/xml/features/disallow-doctype-decl', true);// 如果不能完全禁用DTDs,最少采取以下措施,必须两项同时存在setFeature('http://xml.org/sax/features/external-general-entities', false);// 防止外部实体POCsetFeature('http://xml.org/sax/features/external-parameter-entities', false);// 防止参数实体POC
关键字:SAXReaderSAXBuilderXMLReaderFactory.createXMLReader();DocumentBuilderFactoryXPathExpressionDocumentHelper.parseTextTransformerFactoryUnmarshallerStringReader组件:POI < 3.11 DOS XXE

8.RCE

存在可以执行命令或者代码的函数就可能存在RCE漏洞。

漏洞案例:

在该接口中将接口传参未做过滤直接传递到继承了FelEngineImpl类的工具类中执行并返回结果,可以通过传入如导致代码注入从而执行任意命令

图片

图片

图片

图片

关键字:ProcessBuilderexecsystem()command    Runtime.getRuntime().exec()ProcessUNIXProcessProcessImplProcessBuilder.start()GroovyShell.evaluate()evalclassLoader$$BCEL$$ServiceLoaderToolProvider.getSystemJavaCompiler()getSystemClassLoaderJavaFileObjectJdbcRowSetImplTemplatesImplTransformerFactoryImplresolveClassloadClassjavax.el.ELProcessor

9.逻辑缺陷

逻辑缺陷一般出在判断条件处,例如esle if,动态sql中的if判断。若开发写的if判断条件有逻辑问题,就会出现漏洞。

漏洞案例:

这段动态sql语句中的if判断条件,判断id是否为空,不为空就删除指定id的数据。但是如果用户输入的id参数为空,这会导致生成一个类似于 delete from dish where id 的 SQL 查询语句。在这种情况下,没有指定具体的条件来限制删除操作,因此这个删除语句会删除整个表中的数据,而不管 id 参数是否为空

图片

无具体关键字,需要对项目代码逐条分析查看,判断是否存在逻辑问题。

本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报。

相关资讯