Day66:WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入

最新推荐文章于 2024-06-15 19:45:33 发布
最新推荐文章于 2024-06-15 19:45:33 发布
阅读量382 收藏 8
点赞数 3
分类专栏: 程序员 文章标签: java 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82257383/article/details/138223477
版权

MyBatis支持两种参数符号,一种是#,另一种是KaTeX parse error: Expected 'EOF', got '#' at position 4: ,**#̲使用预编译,使用拼接SQL。(造成注入原因也是因为使用了$进行拼接)**

order by 造成SQL注入:由于使用#{}会将对象转成字符串,形成order by “user” desc造成错误,因此很多研发会采用${}来解决,从而造成注入

这个SQL语句的目的是将0x7e以及当前用户的用户名插入到指定的XML字段中,从而执行恶意操作或泄露敏感信息。

  • 第一个参数是要更新的XML字段
  • 第二个参数是XPath表达式  ~admin
  • 第三个参数是要更新的新值。

在这个例子中,使用了concat函数来拼接字符串,包括特殊字符0x7e(波浪符)以及查询当前用户的子查询select user()。

like 注入:模糊搜索时,直接使用’%#{q}%’ 会报错,部分研发图方便直接改成’%${q}%'从而造成注入.

in注入:in之后多个id查询时使用 # 同样会报错,从而造成注入.

白盒审计

在真实情况下,需要先分析源码里用了那种方式操作数据库(JDBC还是MyBatis),然后在针对性看代码写法,JDBC如果没用到安全写法,那么就容易出现问题。MyBatis看代码用了KaTeX parse error: Expected 'EOF', got '#' at position 3: 还是#̲,#号就可以不用看了,符号就看是不是在order by、like、in里面,在就恭喜了。

代码审计案例:inxedu后台MyBatis注入

1、配置安装源码

端口要与配置文件一致

默认/inxedu_war路径即可

启动项目后报错:

2、代码审计分析

最低0.47元/天 解锁文章
2301_82257383
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2022-22947 Spring Cloud Gateway SpEL 表达式注入 RCE漏洞复现
afei001
03-05 4837
当启用和暴露 Gateway Actuator 端点时,使用Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。
RuoYi-Vue-Plus (SPEL 表达式
javaxueba的博客
04-28 503
PlusDataPermissionHandler 拦截器中定义了解析器:buildDataFilter 方法中根据注解的key value来进行SPEL解析:key作为占位符,value 设置进原生sql。
Java安全之Velocity模版注入
Huangjiazhen711的博客
09-22 1765
我们提供了五条基本的模板脚本语句,基本上就能满足所有应用模板的要求。Apache Velocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。这是我们不希望的,为了把不存在的变量或变量值为null的对象显示为空白,则只需要在变量名前加一个“!如:在EasyJWeb各种开源应用中,我们经常看到的用于弹出提示信息msg的例子。在html标签中显示经过HtmlUtil对象处理过后的msg对象的值。,其中涉及到了ast的处理,感兴趣的师傅可以自己跟下看看。
Day66WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
qq_61553520的博客
03-16 1680
小迪安全-Day66WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
Java SSTI服务端模版注入漏洞原理与利用
最新发布
道阻且长,行则将至。
06-15 1451
本文通过具体的漏洞实例代码,分析、总结了 Java 项目常见的三大模板引擎(Velocity、FreeMarker、Thymeleaf)的 SSTI 漏洞原理与利用方法。虽然相应的模板引擎 SSTI 注入漏洞基本上都拥有 CVE 编号和安全版本,当时在开发人员错误引入存在漏洞缺陷的模板引擎版本的情况下,目标系统依旧存在 RCE 风险。
SSTI注入——python中的ssti
wwwwyyyrre的博客
06-05 942
python里的运用最多的应该就是flask模板注入 也可以直接用tplmap自动化注入来找到ssti注入点python21.2.3.4.5.6.python31.2.
Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)分析与利用
不忘初心,护天下安全!
06-24 2083
Spring Data for MongoDB是 Spring Data 项目的一部分,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。 6月20日,VMware发布安全公告,修复了Spring Data MongoDB中的一个SpEL 表达式注入漏洞(CVE-2022-22980),该漏洞的CVSSv3评分为8.2。 Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggr
java-sec-code spel表达式注入以及其他远程代码执行漏洞
weixin_44687621的博客
08-17 630
今天突然发现,我使用的java sercurity code是老版本的,github上有全新的版本。 https://github.com/JoyChou93/java-sec-code 重新下载了一下,导入之后没问题,相关的漏洞确实多了一些。 继续学习一下远程代码执行漏洞。 spel表达式导致Rce @RestController public class SpEL { @GetMapping("/spel/vuln") public String rce(String expressio
expression-parser:将数学表达式解析为语法树
07-08
表达式解析器 使用内置编译器将数学表达式解析为有用的 AST: 创建一个经过消毒的可执行 javascript 函数 创建一个函数,该函数在执行时为 AST 的每个节点返回一个值 如果解析成功,则回显原始表达式 提供编译器是为了方便,除非您特别require它们,否则不会被拉入构建中。 如果您构建自己的编译器,则 AST 非常容易使用——echo 编译器只需要来实现 安装 $ npm install expression-parser 用法 安全地执行任意数学表达式 并获取为函数生成的原始js > var mkFunc = require ( 'expression-parser/func' ) ; > var expressionFunc = compile ( 'c*sin(2*t)+1' ) ; > expressionFunc ( { c : 0.5 } ) ; 0.999
ssti模版注入(看完就会了)
2401_84302507的博客
05-17 1102
_class__ 类的一个内置属性,表示实例对象的类。__base__ 类型对象的直接基类__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases____mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
服务器模板注入 SSTI
weixin_47585888的博客
07-14 343
new()等模板中,对于部分在Java中实现的FTL库很重要,但在普通模板中不需要。也许最简单的初始方法是尝试通过注入模板表达式中常用的特殊字符序列(如 .如果引发异常,则表示服务器可能以某种方式解释注入的模板语法。如果这再次导致错误或空白输出,则您使用了错误的模板语言的语法,或者,如果没有模板样式语法似乎有效,则无法进行服务器端模板注入。通常,您不应允许这样做,除非这些用户是系统管理员或其他受信任的人员。在其他情况下,漏洞是通过将用户输入放置在模板表达式中暴露的,正如我们之前在电子邮件示例中看到的那样。
SSTI——java里的ssti
wwwwyyyrre的博客
06-08 578
因为从来没接触过java语言 所以对这些也是基本上一窍不通 这里只简单的提及 不做具体介绍会找一下题来做 但是没有找到有关java ssti的题目。
[Java-sec-code]Java velocity SSTI
Y4tacker的博客
07-25 1043
文章目录Java velocity Java velocity 可以看一看这一篇文章 java velocity模板用法(替换、循环、if判断)
java非法的表达式开始_记一次Spring表达式注入
weixin_39645249的博客
11-26 320
本文首发于“合天智汇”公众号 作者:Free雅轩该漏洞仅影响 Spring Boot 1.2.8之前版本,Spring Boot 1.2.8版本之后已得到修补。相关实验Springboot未授权访问实验:Springboot未授权访问(合天网安实验室)Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,非法用户可通过访问默认的执行器端点(endpoints)来...
多款Java模板引擎对比与模板注入安全之旅
2301_80127209的博客
11-15 816
官方文档:FreeMarker技术将模板中占位变量和代码中响应给前台的数据,通过FreeMarker引擎对接直接输出响应给浏览器,提高了响应速度。原理:模板+数据模型=输出官方文档介绍:在基于MVC模型开发时,Velocity可作为view引擎,取代jsp官方文档:简单总结:Thymeleaf是适用于Web和独立环境的现代服务器端Java模板引擎,允许处理HTML、XML、TEXT、JAVASCRIPT、CSS、RAW。
ssti模版注入(看完就会了),2024年最新2024年网易网络安全岗面试必问
芯_v_648374雨馨博客
04-15 1008
示例:name|default(‘xiaotuo’)----如果name不存在,则会使用xiaotuo来替代。也可以使用or来替换。._TemplateReference__context.keys()}}查看,然后可以查看一下这几个东西的类型,类可以通过__init__方法跳到os,函数直接用__globals__方法跳到os。lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值