java 过滤 非utf8_java_security_calendar_2019(day5day8)

最新推荐文章于 2021-05-13 18:17:29 发布
最新推荐文章于 2021-05-13 18:17:29 发布
阅读量101 收藏
点赞数
文章标签: java 过滤 非utf8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42297349/article/details/112084522
版权

简介

java_security_calendar_2019第5天-第8天的部份。分别为Dos(StringBuilder)、Dos(readAllBytes)、权限提升、未授权下载。

Day5

示例代码:

import javax.servlet.http.HttpServletRequest;
import java.util.Enumeration;

public class Request {
  public static String toString(HttpServletRequest req) {
    StringBuilder sb = new StringBuilder();
    String delimiter = req.getParameter("delim");
    Enumeration names = req.getParameterNames();while (names.hasMoreElements()) {
      String name = names.nextElement();if (!name.equals("delim")) {
        sb.append("" + name + ":
");
        String[] values = req.getParameterValues(name);for (String val : values) {
          sb.append(val);
          sb.append(delimiter);
          sb.append("
");
        }
      }
    }return sb.toString();
  }
}

看了半天也没发现哪里有问题,看了下提示,这个题是StringBuilder()引发的dos,大致原因是java.util.StringBuilder中,StringBuilder对象使用大小为16的数组初始化。每次附加新值时,StringBuilder实例都会检查数据是否适合该数组。如果不合适,则数组的大小加倍。而默认情况下,Apache Tomcat的POST请求限制为2MB,最大参数为10000。将传入的delim值结合数组和多个(例如10000个)HTTP参数提交非常大的参数值(例如1.8 MB),便会引起dos攻击。
了解了漏洞原因再看这段代码就比较容易了,方法toString将收到的所有参数,进行遍历,转化为html格式。直接写个脚本,注意先不要把参数写那么大,,,要不可能执行脚本的时候卡掉。。。慢慢的值改上去。

python写个脚本:

headers = {}
headers['User-Agent'] = 'Mozilla/5.0 ' \
                          '(Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.50 ' \
                          '(KHTML, like Gecko) Version/5.1 Safari/534.50'
url="http://localhost:8888/day5/Request"
delim = ""
data="delim=test"+delim
content=""

# 参数值的大小
for i in range(1,36000):
    content=content+"test"
# 参数的多少
for i in range(1,500):
    data=data+"&delim{index}=".format(index=i)+content
# print(data)

res=requests.post(url,headers=headers,data=data)
print(res.status_code)

当参数的值一调大以后,python脚本就报这个问题,google查了半天,发现在requests库下也有好多人提交了这个问题,也没找到合适的解决方案,不过思路应该没错。

requests.exceptions.ConnectionError: ('Connection aborted.', BrokenPipeError(32, 'Broken pipe'))

Day6

示例代码:

import java.io.*;
import java.nio.file.*;
import javax.servlet.http.*;

public class ReadFile extends HttpServlet {
  protected void doPost(HttpServletRequest request,HttpServletResponse response) throws IOException {
    try {
      String url = request.getParameter("url");
      String data = new String(Files.readAllBytes(Paths.get(url)));
    } catch (IOException e) {
      PrintWriter out = response.getWriter();
      out.print("File not found");
      out.flush();
    }
    //proceed with code
  }
}

刚开始以为是个文件遍历,仔细一看,没有对文件进行显示,返回“文件未找到”。

6ff7791d3f418ae4e50cf8e6817e40e8.png

原来又是一个dos。。。传入/dev/urandom,此时url对传入的值未进行任何过滤,通过Files.readAllBytes方法读取/dev/urandom下的字节,引起dos

098f22c5e42d0d80f03d2ebe548e4582.png

Day7

示例代码:

import com.fasterxml.jackson.core.*;
import javax.servlet.http.*;
import java.io.*;

public class ApiCache extends HttpServlet {
  protected void doPost(HttpServletRequest request,HttpServletResponse response) throws IOException {
    storeJson(request, "/tmp/getUserInformation.json");
  }

  protected void doGet(HttpServletRequest request,HttpServletResponse response) {
    loadJson();
  }

  public static void loadJson() {
      // Deserialize to an HashMap object with Jackson's JsonParser and read the first 2 entries of the file.
  }

  public static void storeJson(HttpServletRequest request, String filename) throws IOException {
    JsonFactory jsonobject = new JsonFactory();
    JsonGenerator jGenerator = jfactory.createGenerator(new File(filename), JsonEncoding.UTF8);
    jGenerator.writeStartObject();
    jGenerator.writeFieldName("username");
    jGenerator.writeRawValue("\"" + request.getParameter("username") + "\"");
    jGenerator.writeFieldName("permission");
    jGenerator.writeRawValue("\"none\"");
    jGenerator.writeEndObject();
    jGenerator.close();
  }
}

大致流程为用户传入username的值,写入到/tmp/getUserInformation.json中,然后读取该文件,进行解析。 流程很简单,肯定先关注用户输入地方,对username传入的数据未做清洗,导致可传入其他参数进行污染,在该功能下可导致权限提升。
先正常请求,返回如下:

6d86c17aa588066324fc568bdd69d74c.png

此时json文件为:

{
"username":"111111111",
"permission":"none
}

构造恶意请求,

username=111111111","permission":"all

可看到用户传入username的值已正确解析成username=111111111","permission":"all

51847309f3d04053aa0cf46e465d35f2.png

此时json文件为:

"username":"111111111"
"permission":"all"
"permission":"none"

注:若要成功利用此问题,该方法loadJson()必须仅反序列化每个键的第一次出现,以便忽略重复的键。

Day8

示例代码:

import java.io.File;
import java.io.IOException;
import javax.servlet.http.*;

public class GetPath extends HttpServlet {
    protected void doGet(HttpServletRequest request,HttpServletResponse response) throws IOException {
        try {
            String icons = request.getParameter("icons");
            String filename = request.getParameter("filename");

            File f_icons = new File(icons);
            File f_filename = new File(filename);

            if (!icons.equals(f_icons.getName())) {
                throw new Exception("File not within target directory!");
            }

            if (!filename.equals(f_filename.getName())) {
                throw new Exception("File not within target directory!");
            }

            String toDir = "/var/myapp/data/" + f_icons.getName() + "/";
            File file = new File(toDir, filename);

            // Download file...
        } catch(Exception e) {
            response.sendRedirect("/");
        }
    }
}

看到两个输入点,iconsfilename均未做任何过滤,用户传入数这两个参数后,对其名字做判断,其中判断使用的是getName()方法,该方法仅能做简单../的过滤,如/../../../../hack.txt转成hack.txt。然后执行到关键代码String toDir = "/var/myapp/data/" + f_icons.getName() + "/";,发现toDir的值为/var/myapp/data/f_icons.getName()拼接而成。此时通过../的形式对传入的值做控制,从而实现可以访问/var/myapp/目录下任意文件。

稍微修改代码,让程序跑起来。执行恶意payload,

8de253a0f6c2e3f5a7d8a18ff061e76d.png

来听大家讲故事
关注
java 过滤utf8_Java 过滤汉字的utf8的字符(包括emoji)
weixin_39692253的博客
02-13 540
其实标题应改为过滤4字节UTF-8字符请看下表Unicode编码(16进制)  ║ UTF-8 字节流(二进制)000000 - 00007F  ║ 0xxxxxxx000080 - 0007FF  ║ 110xxxxx 10xxxxxx000800 - 00FFFF  ║ 1110xxxx 10xxxxxx 10xxxxxx010000 - 10FFFF  ║ 11110xxx 10xxxxxx...
Day_10 传智健康项目-权限控制、图形报表
lbw18的博客
06-18 371
前面我们已经学习了Spring Security框架的使用方法,本章节我们就需要将Spring Security框架应用到后台系统中进行权限控制,其本质就是认证和授权。要进行认证和授权需要前面课程中提到的权限模型涉及的7张表支撑,因为用户信息、权限信息、菜单信息、角色信息、关联信息等都保存在这7张表中,也就是这些表中的数据是我们进行认证和授权的依据。所以在真正进行认证和授权之前需要对这些数据进行管理,即我们需要开发如下一些功能:1、权限数据管理(增删改查)2、菜单数据管理(增删改查)3、角色数据管理(增删改
java过滤汉字的utf8的字符
小菜鸟 望大神多多指教
12-03 1801
java过滤汉字的utf8的字符 java将字符串转换为二进制
java如何过滤无效的utf-8字符?
flysharkym的专栏
09-26 4542
直接上代码了: public static String stripNonCharCodepoints(String input) {           StringBuilder retval = new StringBuilder();           char ch;              for (int i = 0; i input.length(
calendar前推n天_java_security_calendar_2019(day1day4)
weixin_39888807的博客
12-06 70
简介前几天无意间看到RIPS2019年出的calendarjava相关的,于是抽空看一看,争取可以把24天的都给看完。day1示例代码:import org.jdom2.Content;import org.jdom2.Document;import org.jdom2.JDOMException;import org.jdom2.input.SAXBuilder;public cla...
java去除utf8编码,并将乱码用“?“替换
qq_39190628的博客
11-17 1000
public static String filterOffUtf8Mb4(String text) throws UnsupportedEncodingException { if (StringUtils.isEmpty(text)) { return text; } byte[] bytes = text.getBytes(“UTF-8”); ByteBuffer buffer = ByteBuffer.allocate(bytes.length); int i = 0; while (i <
java项目易买网mysql_易买网项目源码【完整版】
weixin_42360899的博客
01-28 2933
1 packagecn.easybuy.utils;23 importjava.security.InvalidKeyException;4 importjava.security.NoSuchAlgorithmException;5 importjava.text.SimpleDateFormat;6 importjava.util.Calendar;7 importjava.util.Date...
JAVA8新特性(吐血整理)
热门推荐
yitian_66的博客
07-12 11万+
一、Java 8 Lambda 表达式... 31.1 语法... 31.2 Lambda 表达式实例... 3Java8Tester.java 文件... 31.3 变量作用域... 5Java8Tester.java 文件... 5Java8Tester.java 文件... 5二、Java 8 方法引用... 72.1方法引用... 72.2方法引用实例... 8Java8Tester.j...
java8新特性
weixin_43723702的博客
05-13 117
最近在学java8的新特性,此文记录下心得 所有知识来源于网上,心得为原创,故该篇视为原创,举报党高抬贵手。 1.Lambda 表达式 lambda表达式的重要特征: 可选类型声明:不需要声明参数类型,编译器可以统一识别参数值。 可选的参数圆括号:一个参数无需定义圆括号,但多个参数需要定义圆括号。 可选的大括号:如果主体包含了一个语句,就不需要使用大括号。 可选的返回关键字:如果主体只有一个表达式返回值则编译器会自动返回值,大括号需要指定明表达式返回了一个数值。 // 类型声明 (int
https Java SSL Exception protocol_version
weixin_34088583的博客
04-06 3914
java代码中,使用HttpClient爬取https页面时,遇到了这个bug:javax.net.ssl.SSLException: Received fatal alert: protocol_version 先奉上初始的代码: 1 /** 2 * 3 */ 4 package com.tcl.mibc.weathercrawler; ...
java去除utf8编码中的法字符串,检查字符串是否是有效的用Java编码的UTF-8
weixin_39625864的博客
02-16 451
How can I check if a string is in valid UTF-8 format?解决方案Only byte data can be checked. If you constructed a String then its already in UTF-16 internally.Also only byte arrays can be UTF-8 encoded.Her...
java mysql replace_java – 如何清除不适合MySQL中utf8编码的坏字符?
weixin_31061573的博客
02-01 280
当我遇到这样的问题时,我使用Perl脚本来确保使用如下代码将数据转换为有效的UTF-8:use Encode;binmode(STDOUT,":utf8");while (<>) {print Encode::decode('UTF-8',$_);}该脚本在stdin上占用(可能已损坏)UTF-8,并将有效的UTF-8重新打印到stdout.无效字符被替换为 (U FFFD,Unico...
java 过滤utf8字符串,Java-从包含UTF-8和UTF-8字符的字符串中精确计数60个字符...
weixin_28684757的博客
02-17 356
I have a string which i want to save in a database that only supports UTF8 characters. If the string size is > 60 characters i want to truncate it and only store the first 60 characters. The Oracl...
Java过滤UTF-8字符方法
jammiwang19870815的专栏
04-01 1万+
Java过滤UTF-8字符方法
java替换utf-8得字符_使用声明的编码= UTF-8- Java从XML中删除UTF-8字符
weixin_29205373的博客
02-23 491
一旦在Java机器上将字节数组转换为字符串,就会得到(默认情况下,大多数机器)UTF16编码字符串。摆脱utf-8字符的正确解决方案是使用以下代码:String[] values = {"\\xF0\\x9F\\x98\\x95", "\\xF0\\x9F\\x91\\x8C", "/*", "look into my eyes ã€.ã€", "fkdjsf ksdjfslk", "\\x...
Day 4 - False Beard | RIPS 2017 PHP代码安全审计挑战(RIPSTECH PRESENTS PHP SECURITY CALENDAR)/ Writeup
Ambulong的博客
08-31 353
RIPSTECH PRESENTS PHP SECURITY CALENDAR 是由 RIPS 团队出品的PHP代码安全审计挑战系列题目,RIPSTECH PRESENTS PHP SECURITY CALENDAR 2017 共包含24道题目(Day 1 ~ 24),每道题目将包含一个较新颖的知识点供大家学习。 VULNSPY 提供在线实验环境让您可以在线进行模拟渗透测试,在线体验 RIPST...
过滤utf8 字符中超过三个字节的字符,或者utf8字符
ivhong
02-15 4873
function filterUtf8($str) { /*utf8 编码表: * Unicode符号范围 | UTF-8编码方式 * u0000 0000 - u0000 007F | 0xxxxxxx * u0000 0080 - u0000 07FF | 110xxxxx 10xxxxxx
java UTF_16与UTF_8区别
最新发布
06-09
UTF-16和UTF-8都是Unicode编码的一种形式,但它们的存储方式和编码规则不同。 UTF-16是一种固定长度的编码方式,每...在Java中,字符串默认使用UTF-16编码,可以使用getBytes方法将字符串转换为UTF-8编码的字节数组。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值