【小迪安全】Day55代码审计-JAVA项目注入上传插件挖掘 - 哔哩哔哩点击进入查看全文
https://www.bilibili.com/read/cv15363929?spm_id_from=333.999.0.0
0x00 前置知识
1、安装tomcat
(1)什么是tomcat
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。
2、idea创建web
3、HttpServletRequest 常用方法
4、HttpServletResponse 常用方法
5、java_web项目运行流程
---首先,将项目部署到服务器,由客户端发起请求,将请求发送到tomcat的监听端口。
---通过端口进入tomcat,再由tomcat将携带的请求信息移交给web项目。
---正式进入Javaweb项目,要解读web.xml配置文件,将依据文件的配置决定进入哪一个页面或者servlet
---读取tomcat通用的conf/web.xml,然后再读取web应用程序中的WEB-INF/web.xml
#路径总结:
---浏览器=》tomcat服务器=》web.xml=》listener=》filter=》sevlet
🌹流程图
6. web.xml的解读
<web-App>
---<display-name></display-name>定义了WEB应用的名字
---<description></description> 声明WEB应用的描述信息
---<context-param></context-param> context-param元素声明应用范围内的初始化参数。
---<filter></filter> 过滤器元素将一个名字与一个实现javax.servlet.Filter接口的类相关联。
---<filter-mApping></filter-mApping> 一旦命名了一个过滤器,就要利用filter-mApping元素把它与一个或多个servlet或JSP页面相关联。
---<listener></listener>servlet API的版本2.3增加了对事件监听程序的支持,事件监听程序在建立、修改和删除会话或servlet环境时得到通知.Listener元素指出事件监听程序类。
---<servlet></servlet> 在向servlet或JSP页面制定初始化参数或定制URL时,必须首先命名servlet或JSP页面。Servlet元素就是用来完成此项任务的。
---<servlet-mApping></servlet-mApping> 服务器一般为servlet提供一个缺省的URL:http://host/webAppPrefix/servlet/ServletName。 但是,常常会更改这个URL,以便servlet可以访问初始化参数或更容易地处理相对URL。在更改缺省URL时,使用servlet-mApping元素。
---<session-config></session-config> 如果某个会话在一定时间内未被访问,服务器可以抛弃它以节省内存,可通过使用HttpSession的setMaxInactiveInterval方法明确设置单个会话对象的超时值,或者可利用session-config元素制定缺省超时值。
---<mime-mApping></mime-mApping>如果Web应用具有想到特殊的文件,希望能保证给他们分配特定的MIME类型,则mime-mApping元素提供这种保证。
---<welcome-file-list></welcome-file-list> 指示服务器在收到引用一个目录名而不是文件名的URL时,使用哪个文件。
---<error-page></error-page> 在返回特定HTTP状态代码时,或者特定类型的异常被抛出时,能够制定将要显示的页面。
---<taglib></taglib> 对标记库描述符文件(Tag Libraryu Descriptor file)指定别名。此功能使你能够更改TLD文件的位置,而不用编辑使用这些文件的JSP页面。
---<resource-env-ref></resource-env-ref>声明与资源相关的一个管理对象。
---<resource-ref></resource-ref> 声明一个资源工厂使用的外部资源。
---<security-constraint></security-constraint> 制定应该保护的URL。它与login-config元素联合使用
---<login-config></login-config> 指定服务器应该怎样给试图访问受保护页面的用户授权。它与sercurity-constraint元素联合使用。
---<security-role></security-role>给出安全角色的一个列表,这些角色将出现在servlet元素内的security-role-ref元素的role-name子元素中。分别地声明角色可使高级IDE处理安全信息更为容易。
---<env-entry></env-entry>声明Web应用的环境项。
---<ejb-ref></ejb-ref>声明一个EJB的主目录的引用。
---< ejb-local-ref></ ejb-local-ref>声明一个EJB的本地主目录的应用。
7、项目命名规则
---在不同的框架下一般包的命名规则不同,但大概如上,不同功能的Java文件放在不同的包中,根据Java文件的功能统一安放及命名。
---公司项目,copyright由项目发起的公司所有
---包名为com.公司名.项目名.模块名...
---持久层:dao、persist、mApper
---实体类:entity、model、bean、javebean、pojo
---业务逻辑:service、biz
---控制器:controller、servlet、action、web
---过滤器:filter
---异常:exception
---监听器:listener
8、审计思路
(1)确定框架:通过以下3种方式确定框架:
<1>看web.xml
<2>看导入的jar包或pom.xml
<3>看配置文件
Struts2 配置文件:struts.xml
Spring 配置文件:ApplicationContext.xml
Spring MVC 配置文件:spring-mvc.xml
Hibernate 配置文件:Hibernate.cfg.xml
Mybatis 配置文件:mybatis-config.xml
(2)查询是否存在过滤器
---通过查看web.xml文件,确定是否配置相关过滤器
(3)审计方法
---根据业务功能审计
优点:明确程序的架构以及业务逻辑,明确数据流向,可以从获取参数-->表现层-->业务层-->持久层,通读源码
缺点:耗费时间
---根据敏感函数审计
优点:可以快速高效的挖出想要的漏洞,判断敏感函数上下文,追踪参数源头
缺点:覆盖不了逻辑漏洞,不了解程序的基本框架。
0x01 案例分析思路
1、简易 Demo 段 SQL 注入及预编译
(1)导入项目
(2)找到sql-injection.jsp文件
---接受get传参user
---然后拼接参数查询MySQL数据库的用户表
---然后再对拼接的SQL进行预编译,再执行并且返回结果(数组rs)
---对rs的键对应的值进行遍历输出
---漏洞产生原因:写法不规范:SQL语句应该按照预编译要求去拼接,而不是直接拼接了,再去预编译
(具体分析见链接🔗
【小迪安全】Day55代码审计-JAVA项目注入上传插件挖掘 - 哔哩哔哩)
2、Ofcms 后台 SQL 注入-全局搜索关键字
(具体分析见链接🔗【小迪安全】Day55代码审计-JAVA项目注入上传插件挖掘 - 哔哩哔哩
3、Ofcms 后台任意文件上传-功能点测试
思路:
---从业务功能的漏洞,进行抓包分析,来寻找漏洞
---搜索特定的功能函数分析(可以两者进行结合,确定路由)
---Java和PHP的区别:代码区别;文件对应地址的区别;过滤器的写法
---框架的安全问题(spring,maven,structs,springMVC,Shiro,Mybatis)
---中间件的安全问题(Jetty,tomcat,weblogic,glassfish,Webshere)
---java代码本身的服务漏洞(Java RMI codebase/Registry/)
(具体分析见链接🔗【小迪安全】Day55代码审计-JAVA项目注入上传插件挖掘 - 哔哩哔哩
4.Java的重点框架
---ORM型框架:
对数据进行持久化操作,例如:基于SQL的MyBatis框架和Hibernate框架。(数据库查询)
---MVC型框架:
从逻辑上分为视图层,控制层,模型层,各层各司其职,之间是相互调用的关系,而不是相互依赖的关系。例如:SpringMVC,Struts2框架,Spring框架。
---Spring框架:
将对象的管理交给Spring的IOC容器,反转资源获取的方向,是编程思想的一大进步。
---Spring boot框架:
简化了Spring的复杂配置,提供了Thymeleaf模板,很多微服务都是基于Springboot的。
5、案例源码
Demo源码:
https://github.com/xhycccc/javaweb-sec
OfCMS1.1.2源码:
https://gitee.com/oufu/ofcms/releases
0x02 java代码审计工具
1、IDEA 审计插件 FindBugs
2、Fortify_SCA 代码自动审计神器
3、idea的代码审计的使用技巧
---编辑=》查找=》在路径中查找=》(快捷键Ctrl+H)
---搜索select关键字查找
---函数的定位:查找用法
---上面是方法的构造,下面是方法的引用