吹爆SyntaxFlow!数据流分析实战解析

已于 2024-08-21 14:20:50 修改
阅读量919 收藏 20
点赞数 23
文章标签: java 算法 开发语言
于 2024-08-21 14:18:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YakProject/article/details/141392421
版权

正文开始前辟个谣先

最近有小伙伴来问闭源收费的事

牛牛郑重告知大家

目前还没有这个计划

请大家放心使用

添加图片注释,不超过 140 字(可选)

样例解析在之前的SyntaxFlow教程中,我们已经看到了非常多的代码样例进行数据流分析,这里选用其中一个:可以看到在代码中,Runtime.getRuntime().exec的参数为simpleBean.getCmd, 而此前也存在simple.setCmd和simple.setCmd2, 通过CmdObject的声明可以知道,getCmd将会拿到this.cmd1,setCmd将会设置this.cmd1,因此exec的参数应该是aTaintCase022的参数cmd。

 

 

package com.sast.astbenchmark.model; public class CmdObject { private String cmd1; private String cmd2; public void setCmd(String s) { this.cmd1 = s; } public void setCmd2(String s) { this.cmd2 = s; } public String getCmd() { return this.cmd1; } public String getCmd2() { return this.cmd2; }} @RestController()public class AstTaintCase001 { /** * 字段/元素级别->对象字段->对象元素 * case应该被检出 */ @PostMapping(value = "case022") public Map<String, Object> aTaintCase022(@RequestParam String cmd) { Map<String, Object> modelMap = new HashMap<>(); try { CmdObject simpleBean = new CmdObject(); simpleBean.setCmd(cmd); simpleBean.setCmd2("cd /"); var sh = simpleBean.getCmd(); var sh2 = sh; Runtime.getRuntime().exec(sh2); modelMap.put("status", "success"); } catch (Exception e) { modelMap.put("status", "error"); } return modelMap; }}
 

 

一级定义
 

首先我们可以用最基础的use-def链检查一下exec的参数:
 

 

 

Runtime.getRuntime().exec(* as $para)$para #> as $paraDef
 

得到结果如下:
 

 
 
注意因为函数exec会传入this参数,因此会出现Runtime.getRuntime() 也存在在参数中。
 

 

 

 

 

可以看到加入的var sh2 = sh并没有影响到分析,因为SyntaxFlow使用基于SSA格式的YakSSA HIR,在分析时只关注值的关系,多层的变量传递也只是同一个值并不会影响分析。同时也可以看到通过->, 可以获取到simpleBean.getCmd() 的上一级引用:函数simpleBean.getCmd和对象simpleBean(这个对象也是被当作this传入的)。
 

最顶级定义接下来,我们将使用SyntaxFlow提供的最顶级定义查看exec的参数:
 

 

 

Runtime.getRuntime().exec(* as $para)$para #-> as $paraDef
 

 

得到结果如下:
 

 

 

 

 

我们也可以看到分析过程: 从runtime.getRuntime.exec获取参数得到getCmd的调用,这一部分都是通过SyntaxFlow完成的,标注为红色箭头,并且标记了得到该数据的操作。然后通过数据流分析获取到参数cmd, 在图中使用黑色箭头标记,过程中的点可以看到检查了函数getCmd和调用点。
 

 

 

 

 

 

 

 

样例
 

  •  
    通过{}可以在向上或向下的数据流分析的过程中进行配置。
     
 

比如在上述的例子中,我们想要收集在数据流分析过程中的数据语句。可以使用hook,并且继续写一段新的SyntaxFlow的查询语句。比如如下的例子:
 

 

 

Runtime.getRuntime().exec(* as $para)$para #{hook: `* as $a`}-> as $paraDef
 

在配置中的hook内可以通过`来写入一段新的SyntaxFlow语句,在数据流追踪过程中的每一个值都会运行该语句,并且该语句支持所有的syntaxFlow特性。我们可以看到审计结果:
 

 

 

 

 

同样我们可以画出该审计过程的图,紫色节点代表当前选中的节点,可以看到他是之前我们审计得到参数cmd过程中的一个节点。
 

 

 

 

 

实际使用接下来是一个Java Servlet的代码样例,在Servlet中规定了doPost/doGet等方法,因此我们可以确定请求的入口是这些函数的第一个参数。但是同时 用户自己编写的代码也可以接收到request类型的参数但是这些函数并不一定会被调用。例子如下:
 

 

 

package net.javaguides.usermanagement.web; import java.io.IOException;import java.sql.SQLException;import java.util.List; import javax.servlet.RequestDispatcher;import javax.servlet.ServletException;import javax.servlet.annotation.WebServlet;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse; import net.javaguides.usermanagement.dao.UserDAO;import net.javaguides.usermanagement.model.User; /** * ControllerServlet.java * This servlet acts as a page controller for the application, handling all * requests from the user. * @email Ramesh Fadatare */ @WebServlet("/")public class UserServlet extends HttpServlet { private static final long serialVersionUID = 1L; private UserDAO userDAO; public void init() { userDAO = new UserDAO(); } protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // 设置响应内容类型 resp.setContentType("text/html"); // 从请求中获取参数 String message = req.getParameter("message"); // 获取响应的 writer 对象,用于发送响应数据 PrintWriter out = resp.getWriter(); out.println("<h1>Received POST request with message: " + message + "</h1>"); } protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String action = request.getServletPath(); try { switch (action) { case "/insert": insertUser(request, response); break; } } catch (SQLException ex) { throw new ServletException(ex); } } private void insertUser(HttpServletRequest request, HttpServletResponse response) throws SQLException, IOException { String name = request.getParameter("name"); String email = request.getParameter("email"); String country = request.getParameter("country"); User newUser = new User(name, email, country); userDAO.insertUser(newUser); response.sendRedirect("list"); }}
 

我们可以从这些函数开始入手获取参数获取到request,并持续向下追踪使用,并配合hook配置获取所有的request.getParameter成员的参数。
 

 

 

/(do(Get|Post|Delete|Filter|\w+))|(service)/(*?{!have: this && opcode: param } as $req);$req.getParameter as $directParam;$req -{ hook: `*.getParameter as $indirectParam`}->$directParam + $indirectParam as $output;$output(, * as $ParamName)
 

得到结果如下:
 

 

 

 

 

预告:YakRunner
 

 

熟悉的朋友应该感觉到本文中的截图都是yakit风格, 目前的新版本YakRunner将会要支持SSA项目编译以及审计功能。大家将要有GUI用了哈哈哈哈

                

        

        

    

  


    

      

        

            

              
                
                  YakProject
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
使用 SyntaxFlow 审计你的第一个“漏洞”

				
			

			

				

					YakProject的博客
				

				

					07-02
					
					798
					
				

			

		

		

			
				
在几分钟之内你应该已经走完了 SyntaxFlow 审计代码的几个要素。

			
		

	



                

            
              



	

		

			

				
					
一种全新的代码审计技术:SyntaxFlow

				
			

			

				

					YakProject的博客
				

				

					06-24
					
					1109
					
				

			

		

		

			
				
我们构建一个.getRumtime().exec(* as $params)的语句,在执行之前,人可以解读出来,审计所有对象包含一个getRuntime的成员,获取他的调用指令,在寻找他的调用结果中包含 exec 的成员,再调用 exec 成员,获取 exec 这个函数中所有的参数,把这个参数保存在$params中,我们不执行的时候,人脑观察一下,发现这个参数其实是 cmd,cmd 的最顶级的定义是在函数中的。我们去除特别明显的只通过正则就可以匹配到的特征,新增了一些变量传递的过程,那么我们还能生效吗?

			
		

	



              


  
              

                


	

		

			

				
					
解锁SyntaxFlow,效率飙升,下班畅玩《黑神话:悟空》无压力!

				
			

			

				

					YakProject的博客
				

				

					08-26
					
					643
					
				

			

		

		

			
				
until:数据流从下往上找的过程中,碰到每一个节点都会运行新的SyntaxFlow,并使用配置项规则判断这些node是否为常量,并将沿途经过的所有node加进去$result,直到碰到为常量的node的时候停止。但是我们使用配置项语法的话,数据流在经过每个节点的时候,将会使用其配置的SyntaxFlow Rule对每个节点再次进行判断(简单来说就是碰到一个新的节点的时候,就会再运行一次SyntaxFlow,即对每个节点都进行一次hook)。举个很简单的例子,比如我们在进行污点分析的时候,我们可能会会从。

			
		

	





	

		

			

				
					
向左,向右,向静态代码分析

				
			

			

				

					YakProject的博客
				

				

					10-12
					
					645
					
				

			

		

		

			
				
代码向左,分析向右

			
		

	



		

			
		



	

		

			

				
					
天命所归,SyntaxFlow助大圣取得真经

				
			

			

				

					YakProject的博客
				

				

					09-09
					
					852
					
				

			

		

		

			
				
SyntaxFlow代码查询需要先进行项目编译。在前端的YakRunner界面,主界面或选项栏可以直接点击“编译项目”功能。可见图中红色方框圈起的选项编译项目的选项如下:必选项为项目名、语言和项目路径。其他额外信息、数据库路径、项目入口文件等都非必填。当在YakRunner中打开一个项目以后,可以使用快捷方式直接编译当前打开的项目。此时将会自动填充路径和项目名等信息。需要用户手动选择语言。在最近编译项目中,可以快速打开已编译项目。选择查看全部将会打开已编译项目列表。

			
		

	





	

		

			

				
					
SyntaxFlow Zero to Hero: 跨函数与跨对象代码审计(一)

				
			

			

				

					YakProject的博客
				

				

					06-24
					
					446
					
				

			

		

		

			
				
从上面的这个案例来思考分析跨过程分析的意义,如果说我们可以洞悉 crossFunction,那么得出的结论是:“这命令执行的点不可控”,如果我们不知道 crossFunction 的实现,则得到的结论是“cmd”参数会影响 exec,这是一个命令执行漏洞点。中,我们介绍了基本 SyntaxFlow 可以解决的问题,虽然我们屏蔽了大量的技术细节,但是很多读者并不只局限在“介绍”中,提出了很多比较经典的教科书中的问题。我们用一个简单的 MVP 来说明跨过程分析的最核心的用途,大家一看便知。

			
		

	





	

		

			

				
					
实战分享:用Yak-yso解决一些常见问题

				
			

			

				

					YakProject的博客
				

				

					07-09
					
					993
					
				

			

		

		

			
				
有同学常常使用yak-yso生成的时候,不关注java版本而使用了默认的(默认52也就是JDK1.8),会导致有些情况下,某些链子打不通的情况。(原因是:当版本进行升级的时候,有些内置函数、方法、接口都会做出改变)yak-yso中内置了两种模式的和。yak中的反连平台webFuzzer下面就用一个小的靶场demo来进行简单说明。

			
		

	





	

		

			

				
					
[自用,更新自day5]瑞吉外卖代码及笔记

				
			

			

				

					lapiii的博客
				

				

					11-01
					
					804
					
				

			

		

		

			
				
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。

			
		

	





	

		

			

				
					
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。

				
			

			

				

					h2345678的博客
				

				

					10-29
					
					1368
					
				

			

		

		

			
				
项目功能:商品分类,商品信息,用户。

			
		

	





	

		

			

				
					
JAVA 插入 JSON 对象到 PostgreSQL

				
			

			

				

					qq_52143611的博客
				

				

					10-30
					
					855
					
				

			

		

		

			
				
在现代软件开发中,由于 JSON 数据的轻量和通用性,处理 JSON 数据已经变得无处不在。PostgreSQL凭借其对 JSON 的强大支持,为存储和查询 JSON 数据提供了出色的平台。为了将JSON数据保存到PostgreSQL数据库中,我们可以将JSON数据转换为PostgreSQL的JSONB类型数据,然后将其存储在数据库中。在Java中,我们可以使用JDBC或者基于ORM框架的方式来实现这一功能。

			
		

	





	

		

			

				
					
SpringSession源码分析

				
			

			

				

					lkr_lkr的博客
				

				

					11-01
					
					248
					
				

			

		

		

			
				
默认对常规Session的理解和使用,如何使用Set-Cookie。

			
		

	





	

		

			

				
					
函数式接口与回调函数实践

				
			

			

				

					m0_37635053的博客
				

				

					10-29
					
					407
					
				

			

		

		

			
				
函数式接口与回调函数

			
		

	





	

		

			

				
					
Java复习24(PTA)

				
			

			

				

					2301_79272475的博客
				

				

					10-30
					
					407
					
				

			

		

		

			
				
Java复习24(PTA):多种排序的book类*

			
		

	





	

		

			

				
					
Android 13 解决 Settings 首页矢量图修改颜色不生效

				
			

			

				

					人生只是一种体验,不必用来演绎完美。
				

				

					10-30
					
					281
					
				

			

		

		

			
				
从Android 12 开始, 推出了Material You 设计,并在 Android 13 中得到了改进。导致了修改svg颜色不生效的问题。

			
		

	





	

		

			

				
					
信息学科平台系统开发:基于Spring Boot的最佳实践

				
			

			

				

					2401_85761762的博客
				

				

					11-02
					
					735
					
				

			

		

		

			
				
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。本系统具有易操作、易管理、交互性好的特点,在操作上是非常简单的,因此在操作上具有很高的可行性。(2)该完整内容全面,管理方便可以及时的全面的处理各种错误,异常,这样避免了很多因用户的马虎操作而出现的失误,其操作方便,用户界面友好,能够上网的人都可以很好的进行操作。

			
		

	





	

		

			

				
					
gbase8s之spring框架用druid中间件报语法错误

				
			

			

				

					weixin_55963561的博客
				

				

					10-29
					
					363
					
				

			

		

		

			
				
报错原因2:druid没加validationQuery, druid加上validationQuery就可以了。报错原因1:gbase8s不支持select 1这种语法,应该改成select 1 from dual;

			
		

	





	

		

			

				
					
JavaScript的第十一天

				
			

			

				

					全栈学习ing
				

				

					10-31
					
					727
					
				

			

		

		

			
				
在使用offset系列时需注意该属性为css属性,一般用于和javascript结合使用来获取信息,所以在使用该属性时只能获取值而不能改变值。最近的具有定位属性的祖先元素顶部边缘左侧边缘。

			
		

	





	

		

			

				
					
Java学习Day54:初遇萍萍(权限控制)

				
			

			

				

					weixin_51721783的博客
				

				

					10-29
					
					1190
					
				

			

		

		

			
				
web.xml:在health_backend工程的web.xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProxy。

			
		

	





	

		

			

				
					
Java爬虫的京东“寻宝记”:揭秘商品类目信息

				
			

			

				

					2401_87849308的博客
				

				

					10-30
					
					832
					
				

			

		

		

			
				
在这个数据驱动的时代,我们就像一群特工,穿梭在数字的海洋中,寻找着隐藏的宝藏——商品类目信息。今天,我们将带领你一起,用Java这把精密的瑞士军刀,深入京东的神秘领域,揭开商品类目的神秘面纱。为了避免被京东的反爬虫机制发现,我们需要设置合理的请求间隔,并且可能需要模拟浏览器的User-Agent。经过一系列的特工任务和挑战,我们终于成功获取了商品的类目信息,并且安全返回。我们需要找到京东商品类目信息的API接口,这将是我们特工任务的起点。在代码的世界里,我们不仅要追求技术的高度,更要追求道德的底线。

			
		

	





	

		

			

				
					
Qt自定义控件:汽车速度表

					
最新发布

				
			

			

				

					weixin_44788175的博客
				

				

					11-02
					
					145
					
				

			

		

		

			
				
从外到内进行绘制,初始化画布,画渐变色外圈,画刻度,写刻度文字,画指针,画扇形,画内圈渐变色,画黑色内圈,写当前值。这里难点使用正弦和余弦计算绘制刻度字。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值