Java-sec-code java语言靶场环境搭建

最新推荐文章于 2025-04-07 15:47:36 发布
最新推荐文章于 2025-04-07 15:47:36 发布
阅读量3.5k 收藏 39
点赞数 50
文章标签: java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63855540/article/details/135066396
版权

其实看官方的手册搭建这个靶场可以使用docker,用docker搭建嘎嘎快一下就搭建完了,但是用idea搭建可以debug用来代码审计,适合深入的研究所以我还是选择了使用idea进行搭建。

还有些小细节的地方我就不多修改了自己去看着修改

参考链接:代码审计入门之java-sec-code(一) - FreeBuf网络安全行业门户

 

源码下载:GitHub - JoyChou93/java-sec-code: Java web common vulnerabilities and security code which is base on springboot and spring security

jdk1.8环境

这里只能使用jdk1.8的环境

在项目结构里面,然后填上你的jdk1.8的bin目录,记得右下角要点击应用

 

 

接下来启动mysql的数据库(我直接用的phpstudy的启动的数据库,简单方便),我这里使用的5.5版本的,创建数据库 CREATE DATABASE java_sec_code;

 

 然后运行create_db.sql文件的sql语句

 

 

 然后把这个文件的连接数据库的好密码改为自己的

 

然后配置一下tomcat

去官网下载tomcat,解压出来就是这样的

 

然后在设置里的这个地方添加这个 

 

然后maven可以自己去下载,或者用idea自带的,我用的是这个版本的 

 

那个官方的手册也没有说明白怎么启动的,就说了需要什么配置然后run就可以。。。。。。

启动了就报错。报这个鬼问题,后面请求外援和使用gpt解决了这个问题

 

首先是发现这个依赖包根本就没有下载下来。。。。。。。。

在pom.xml文件中天健这段代码用来重新下载依赖

 

<dependency>
    <groupId>xalan</groupId>
    <artifactId>xalan</artifactId>
    <version>2.7.2</version>
</dependency>

我检查过了不是我没下完整源码的问题,确实是没有这个依赖的下载链接

 然后先maven里面clean一下,重新加载一遍,最后看看自己的本地仓库里面有没有这个依赖包,然后尝试运行一下,运行的时候在那个application里运行,如果像我这样那个run的那里有个application可以直接点这里的运行,如果可以运行起来就没问题了

 

 

本地仓库路径 

 

然后看仓库下好这个没 

 

没下好的我也不知道怎么办。。。。。。反正填上了前面那个xml语句应该就是可以下的

其实我一开始是遇到下不奥依赖,后来下到依赖了,但是xalan在11后面被移除了。所以要把jdk换成1.8的,主要是我对于java搭建这种东西不太熟悉,搞了挺久的,又是maven又是啥的,还是PHP香。。。。。。

启动起来就是这样的

 

 

其实看官方的手册搭建这个靶场可以使用docker,用docker搭建嘎嘎快一下就搭建完了,但是用idea搭建可以debug用来代码审计,适合深入的研究所以我还是选择了使用idea进行搭建。

还有些小细节的地方我就不多修改了自己去看着修改

参考链接:代码审计入门之java-sec-code(一) - FreeBuf网络安全行业门户

 源笔记:有道云笔记

dreamer292
关注
【网络安全 | Java代码审计】java-sec-code
等风来
11-07 1741
项目地址:https://github.com/JoyChou93/java-sec-code项目说明:Java 漏洞靶场,可黑盒测试及审计代码。README:https://github.com/JoyChou93/java-sec-code/blob/master/README_zh.md靶场默认环境为Linux。如果在Windows上搭建并验证漏洞,则需要对部分代码进行调整。在运行项目之前,需确保MySQL服务已启动。本文使用PHP Study来启动该服务。由于PHP Study不允许创建用户名为ro
java-sec-code环境搭建和简单命令执行分析
weixin_44687621的博客
08-13 2104
简介 Java Security Code 该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。 每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。 该项目由当前最流行的框架springboot编写 环境搭建 这里为了方便调试,使用windows上的idea来搭建java security code 首先使用idea的git功能,clone源码到本地 网址:https://github.com/dr0op/java-
代码审计入门之java-sec-code
MSB_WLAQ的博客
10-13 2749
1.介绍 对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。 2.安装 项目地址https://github.com/JoyChou93/java-sec-code/ java-sec-code是由java开发,使用的框架为springboot,下载到本地后直接使用IDEA导入项目。 选择maven工程选项。 导入项目..
Java-Sec-Code 环境搭建
MZa1213123的博客
03-16 9493
一、Java Sec Code 介绍 对于学习Java漏洞代码来说,Java Sec Code是一个非常强大且友好的项目。 该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。 每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。 具体可查看每个漏洞代码和注释。 下载地址:https://github.com/JoyChou93/java-sec-code 二、搭建环境 IDEA 由于在 windows 对代码进行审计,方便 debu
JavaSecLab 综合Java漏洞平台搭建
moonteam的博客
03-08 279
JavaSecLab是一款综合型Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范,覆盖多种漏洞场景,友好用户交互UI……支持漏洞模块跨站脚本攻击、跨站请求伪造、CORS、JSONP、URL重定向、XFF伪造、拒绝服务、XPATH注入SQL注入、任意文件系列、跨服务端请求伪造、XML实体注入、RCE逻辑漏洞(IDOR、验证码安全、支付安全、并发安全)、敏感信息泄漏系列、登录对抗系列SPEL注入、SSTI注入、反序列化、组件漏洞技术架构。
Java-Sec-Code靶场
Aiwin的博客
08-15 2634
Java-Sec-Code靶场
Java-Sec-Code-SQLi
weixin_44770698的博客
12-03 785
Java-Sec-Code代码审计学习
bewhale/JavaSec漏洞靶场搭建
m0_56741167的博客
07-21 2642
搭建javasec漏洞靶场
java-sec-code:基于springboot和spring security的Java Web常见漏洞和安全代码
02-03
Java秒代码 Java sec代码是用于学习Java漏洞代码的非常强大且友好的项目。 介绍 该项目也可以称为Java漏洞代码。 除非没有漏洞,否则默认情况下,每个漏洞类型代码都有一个安全漏洞。 相关的修订代码在注释或代码中。 具体来说,您可以查看每个漏洞代码和注释。 登录用户名和密码: admin/admin123 joychou/joychou123 漏洞代码 按字母排序。 漏洞描述 怎么跑 该应用程序将使用mybatis自动注入。 请提前运行mysql服务器,并配置docker服务器以外的mysql服务器数据库的名称和用户名/密码。 spring.datasource.url=jd
java-sec-code sql注入漏洞分析
weixin_44687621的博客
08-14 586
之前在idea上搭建了项目java security code,并做了点简单的测试。发现虽然有Eureka组件的报错,但是还是能完美地实现简单命令执行漏洞的,今天尝试以下sql注入漏洞。 环境搭建 启动mysql服务,查看连接是否正常,并建立对应的数据库和数据表 如果出现time zone的错误,请提升mysql版本。或将jdbc连接改为 String url = "jdbc:mysql://localhost:3306/sectest?serverTimezone=UTC"; 接下来,开启服务,访问h
java-sec-code ssrf靶场
03-20
### Java 安全编码中的 SSRF 漏洞练习与测试环境 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种常见的安全漏洞,攻击者可以通过该漏洞诱导应用程序向内部网络或其他外部目标发送HTTP请求。为了帮助...
java 代码审计学习靶场.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
Java-Sec-Code学习1
A1andNS's Blog
09-27 567
这是一个典型的命令注入payload,通过;符号即可实现命令分隔,实现多命令执行。那么该漏洞背后的对应的代码实现是什么呢?代码非常简短,首先是Spring Boot的路由映射绑定到/codeinject路由。然后,通过接受一个String类型的filepath参数,并未经任何处理和过滤直接拼接进入到cmdList数组中了。这里的cmdList中主要是使用sh -c来实现命令调用,通过;分隔命令即可执行命令,也可以通过符号来实现其他命令执行。
java-sec-code学习
公众号shadow sock7
03-04 4717
配合静态代码审计工具,学习一下。 git clone https://github.com/JoyChou93/java-sec-code cd java-sec-code # 生成jar包 mvn clean package 修改配置文件src/main/resources/application.properties:: 将数据库名,账号密码修改为mysql中有的。 参考:mysql最常用最......
Java-Sec-Code-反序列化
weixin_44770698的博客
12-15 594
Java-Sec-Code-反序列化漏洞
java-sec-code中命令注入
qq_54030686的博客
12-18 573
java-sec-code中的命令注入 host位置存在问题
Java-sec-code学习2
A1andNS's Blog
10-13 1110
这是一个典型的上传页面,我们尝试上传一个文件试试看。直接上传一个jsp文件,发现可以直接上传,非常顺利。这意味这后端和前端都没有对文件类型进行任何限制。此外也提供了保存位置的回显,那么我们可以去尝试访问一下。访问不了,看来很有可能是存文件在linux 的临时目录/tmp里了而不是web目录下。只要文件不空,就直接保存文件到/tmp/+文件名的目录下。这里没有对文件类型进行任何的处理、过滤和限制,就直接调用了Files.write()方法去保存文件。
docker部署java-sec-code靶场环境
最新发布
qq_66444569的博客
04-07 350
首先搭建docker环境 具体在我上一篇过程中有写 网上看java-sec-code的部署还需要docker-compose 所以这篇笔记重点记录我下载docker-compose的过程以及搭建靶场的过程以及我中间遇到的一些问题和解决方法。fatal: 无法访问 'https://github.com/JoyChou93/java-sec-code.git/':Unsupported proxy syntax in ' 192.168.238.1:7890'默认账号密码: admin admin123。
代码审计入门之java-sec-code(二)
MSB_WLAQ的博客
10-15 1765
1.SQL注入漏洞 SQL注入漏洞常年作为WEB应用中的普遍存在的高危漏洞,它的危害不用过多叙述,让我们查看SQLI.java内的源代码,源码内分别为我们演示了基于jdbc(Java Data Base Connectivity,java语言提供的访问关系型数据库的接口)的漏洞代码及安全代码和基于MyBatis( 一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射)的漏洞代码及安全代码。 1.1jdbc_sqli_vul方法(漏洞方法) jdbc_sqli_vul方法是基于jdbc实现.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值