java代码审计_Java代码审计| Spring框架思路篇

最新推荐文章于 2023-10-14 17:02:13 发布
最新推荐文章于 2023-10-14 17:02:13 发布
阅读量787 收藏 4
点赞数
文章标签: java代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42365234/article/details/114158751
版权

Java的WEB框架是Java进阶课程,当要进行Spring的漏洞分析,要有一定的Java代码知识储备。

Java后端标准的学习路线:JavaSE->JavaEE->Java Web框架

830f19600b60259fce58604f6fed9f52.png

Spring是Java最核心,最重要的框架。

0X01 审计环境准备

当进行Spring的代码审计(Spring某一个组件包进行分析)时,首先要有相应Spring项目源码,要让没有编写代码经验的朋友从头编写一个Spring的漏洞环境还是有一点难度的,所以要学习Spring代码审计第一步要知道如何查找环境,复现环境。

1. 方法一(spring-messaging为例)

在docker中获取Spring漏洞环境源码(默认已有docker环境)

c3d53c093086a17763e55f135b3af744.png

查看Spring漏洞信息:

查看你要拉取镜像与方法(或docker中使用搜索 docker search spring-messaging)。

9bb2fe0b1152c6ee0039be2248adaf14.png

73433387c8d15f057db9bb7c3527094d.png

93874fe8214e5ec5e863df1a00820e79.png

拉取镜像:

docker pull vulhub/spring-messaging:5.0.4。

48456df1c5d59718d0cb6d22f6b16492.png

查看拉取的镜像。

93ed444cfa0ce086b18cb2e6f3b4eeb4.png

运行镜像(容器)。

10a43775b8515480270d5e951cf6a872.png

访问主机的8080,这一步已拿到漏洞的环境,可以进行POC的验证。

cf5490c99f8070c8778c5355e8fe44b5.png

查看容器ID与启动时运行的命令,可以看到使用命令为java -jar,就能知道环境里面的源码是个jar包。

0bbbba7404c1b1dcb6ae85ff4e57a8dc.png

进入容器并且找到源码。

c0e21d5db538e077ed579d667fa805fa.png

将容器中的文件复制到本地。

10e928191e5c779b138ffd92136d0b44.png

1542dfd9f3497883fd465867104f5fce.png

将jar放入jd-gui就能看到相应的源代码。

ee7db37abb7ea95fa5daa5032683cea5.png

同样在本地也可以使用java -jar运行打包成jar的项目。

b8feaeb4b415a1e64f5f0211fdd0a229.png

扩展:

如果复制出来的是个war,则只要放入tomcat下的webapps目录,运行tomcat就能生成相应的源代码,并且部署了项目,根据tomcat加war名可访问项目。

0fa971645328234160b28c3762b273b3.png

091a0e4fa5dad1a24725b4a150bb6d1c.png

a42a56ae9515b2f0effa5c2e448dea81.png

2. 方法二

如果再未接触过docker情况下,可以到github(https://github.com)搜索环境源码(此方法搜索的源码准确性低),不一定存在相应的漏洞,要修改相应的代码,才能复现漏洞。

936f363d0620f6bc08a64a768da5ca8a.png

0X02 Spring框架审计思路

先熟悉Spring已爆出的各个影响版本、漏洞造成原因、漏洞流程。

第一步:审计时先查看项目是否使用有漏洞的jar包版本(查看Spring的配置文件,但现在的项目都是Maven管理jar包,所以先查看Maven的配置文件pom.xml与.iml文件)。

d5c1028e53b3e450fe489b3d0c29012b.png

从图中可以看出项目使用Spring Framework 5.0.4并且使用spring-websockets 模块所以猜测可能存在Spring Messaging 远程命令执行漏洞。

第二步:再查看项目是否使用了造成漏洞类与方法或可能造成漏洞的危险类与方法(项目导入IDE搜索问题类、问题方法)

IDEA中

Ctrl+Shift+T(全局搜索类,包括jar包)。

0759b40eccab372beb7f4bb4b12dc15a.png

回车就能进入类所在的位置。

Ctrl+Shift+A\t+N(全局搜索方法,包括jar包)。

9bc934bf09ba36322f4c1a6a1e822bff.png

第三步:满足前两步,接下来就可以运行初步的POC动态调试确定是否可以利用漏洞(使用IDEA的Debug),在造成漏洞的类与方法处打上断点进行流程分析。

22861109e41cda9081ed04a9497478da.png

分析和调试数据流程,构造poc。

3f398ca80b19013c1e6f4f41633d0dc2.png

0X03 小小总结

此篇讲述如何得到Spring审计的Demo,审计源码,提供Spring框架审计思路初步判定是否存在漏洞,剩下就是构造POC,动态调试分析修改POC。下期斗哥将带来Java代码审计Spring框架知识篇将讲述Spring框架构造POC要必备的知识。

普林西斯
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java代码审计代码审计的方法及常用工具
大河之犬的博客
05-10 1146
Eclipse 是 Java 开发者非常喜欢的工具之一,它具有强大的编辑、调试功能,允许开发人员安装不同的插件,从而拓展不同的功能。Burp Suite 是渗透测试工作者必备的一款工具,同时对于代码审计者和安全研究人员来说,这也是一款比较重要的测试工具,其跨平台、便捷、强大的功能以及丰富的插件,深受信息安全从业者的喜爱。Ysoserial 是一款开源的 Java 反序列化测试工具,内部集成有多种利用链,可以快速生成用于攻击的代码,也可以将新公开的反序列化漏洞利用方式自行加入 Ysoserial 中。
java 审计功能_audit: Auditor 是一个一个基于 Java 语言实现的通用的 Audit (审计)框架...
weixin_39859220的博客
02-16 785
audit一个通用的 Audit (审计)框架。如果要接入4A审计时,特别方便哟,同时也高度定制化。Features操作定义支持多种方式@Operation 注解方式在 yaml 配置文件配置方法全名的方式在 yaml 配置文件配置 URL template 的方式允许自定义操作资源获取支持多种方式在 yaml 配置方法参数名称的方式支持注解方式支持List, Map, Entity解析等支持自定...
Java敏捷开发(王伟杰译)
07-19
用于Java的开发,很实用的,希望可以帮助你们,给好评
代码审计-Spring框架安全
cdyunaq的博客
05-06 2531
Spring框架安全 作者:t4reega 1.1. Spring简介 Spring是目前Java应用最广泛的框架之一,是拥有着IoC和AOP的优秀机制的容器框架。 而Spring MVC,则是Spring提供给Web开发的框架设计。 1.2. Spring MVC实现逻辑 Spring MVC中,所有的请求都有DispatcherServlet来统一处理、分发。然后借助HandlerMapping定位到处理请求的控制器(Controller)。 Controller处理完成用户请求后,返回M
java数据库基类的实现 (基于Spring Data JPA提供的审计功能)
weixin_33947521的博客
12-30 313
java数据库基类的实现 目的: 统一管理数据库共有字段,实现创建时间,创建人,修改时间,修改人的自动更新。 创建基础类: @Data @EntityListeners(AuditingEntityListener.class) @MappedSuperclass public class BaseModel { @Id...
JAVA代码审计之四大框架学习
goddemon
08-30 588
java三大框架之间的关系 1.Struts:基于MVC的充当了其中的视图层和控制器; 2.Hibernate:做持久化的,对JDBC轻量级的封装,使得我们能过面向对象的操作数据库; 3.Spring: 采用了控制反转的技术,管理Bean,降低了各层之间的耦合。 一.Struts框架 web.xml //对于代码审计而言这个文件的核心是过滤机制 常用 <filter-mapping>的<url-pattern> //如 即当是以.action为结尾的请求时 都会调用这个过滤机制
Java代码审计入门
xiaoi123的博客
06-28 7992
作者:i春秋核心白帽yanzmi原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 J...
Java代码审计入门基础之Spring
qq_43546596的博客
07-24 796
Java代码审计入门基础之Spring ​ 目前大部分的 Java 互联网项目,都是用 SSM(Spring MVC + Spring + MyBatis)框架组合搭建的。 Spring ​ 三层架构 ​ ​ 终于来到Spring框架了,前面讲了Spring MVC和MyBatis框架,现在就讲了Spring框架的作用是什么以及如何在开发中去配置。 ​ Spring框架Java应用最广的框架,是一个轻量级的开源框架,它的主要理念包括 IoC (Inversion of Control,控.
Java代码审计综合实验-jeecg-3-8
10-28
Java代码审计是一项重要的安全实践,它涉及到对Java应用程序的源代码进行审查,以发现潜在的安全漏洞和编程错误。在这个综合实验“Java代码审计——jeecg-3.8”中,我们将聚焦于Jeecg CMS系统的审计过程。Jeecg CMS...
第57天:代码审计-JAVA项目框架类漏洞分析报告1
08-03
这两种表达式语言在Java应用开发中扮演着核心角色,尤其是在Struts2和Spring框架中。 首先,OGNL(Object Graph Navigation Language)是一种强大的表达式语言,用于在Java环境中导航和操作对象图。它被广泛集成在...
代码审计PPT.pdf
06-15
因此,对于Web应用及其所依赖的框架进行细致的代码审计变得至关重要。本次分享主要围绕PHP等主流Web框架代码审计展开。 #### 二、Web框架简介 Web应用框架是用于构建动态网站、网络应用和服务的基础结构。它们...
个人代码_java项目脚手架.rar
09-07
Java领域,"个人代码_java项目脚手架.rar" 提供的RuoYi框架就是一个这样的工具,旨在帮助开发者快速搭建Web应用程序。 RuoYi框架是基于Spring Boot和MyBatis Plus的轻量级管理后台,它简化了传统Java Web项目的...
Spring Boot 是一个用于快速构建基于 Java 的企业级应用程序的开源框架
最新发布
04-07
Spring Boot 是一个由 Pivotal 团队开发的开源框架,其主要目标是简化Java 应用程序的初始设置和常规配置。它基于“约定优于配置”的原则,为开发者提供了开箱即用的功能,使他们能够更高效地构建高质量的企业级应用...
小明学习代码审计writeup
weixin_30609287的博客
07-18 407
小明学习代码审计writeup 题目来自hackinglab.cn 综合关 题目地址:http://lab1.xseclab.com/pentest6_210deacdf09c9fe184d16c8f7288164f/index.php 访问题目地址得到如下源码: Please Reset Your Password Then Get your flag! <a href="./rese...
[Java代码审计]javacon WriteUp
Y4tacker的博客
07-21 912
文章目录写在前面javacon 写在前面 在P神星球看到的,这里学习一下,文件在https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar javacon 运行的时候利用java -jar challenge-0.0.1-SNAPSHOT.jar 首先查看配置 首先在登录页面,在login页面post接收参数,与配置当中的比对,成功则设置cookie @PostMapping({"/login"})
尽最大可能分析上传源码及漏洞利用方式
weixin_33735077的博客
07-18 180
0x00 简单源码分析 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 <?php if ((($_FI...
PHP代码审计之函数漏洞(下)
JBlock的博客
03-13 4667
前言 此文件属于代码审计的一个环节,其意图是为总结php常见函数漏洞,分为上下两节,此为下节!此与命令注入绕过和sql注入回顾同属一个系列!欢迎各位斧正! 目录 前言 正文 md5()引发的注入 md5加密相等绕过 数字验证正则绕过 md5函数验证绕过 十六进制与数字比较绕过 后记 正文 md5()引发的注入 &lt;?php $password=$_POST...
java代码审计必备技能之——Spring框架
MachineGunJoe666
10-14 123
Spring作为一款轻量级开源框架,以控制反转(IOC)和面向切面编程(AOP)为内核.解决了开发人员在工作过程中遇到的许多常见问题.包括目前市场的java项目绝大部分会采用Spring框架技术.
java代码审计】SQL注入
m0_52923241的博客
02-28 653
没有正确的对用户的输入进行检查,将用户的输入以拼接的方式带入到SQL语句中,导致SQL注入。
java代码审计 入门
08-24
对于Java代码审计,入门的几个重点包括: 1. 熟悉Java语言和开发框架:了解Java的基础知识和常见的开发框架,如Spring、Struts等。掌握Java的语法、面向对象编程、异常处理等内容。 2. 学习安全编码规范:掌握常见的安全编码规范,例如OWASP Top 10、CWE/SANS Top 25等。了解常见的安全漏洞类型,如跨站脚本攻击(XSS)、SQL注入、文件包含漏洞等。 3. 掌握代码审计工具:学习使用一些常见的代码审计工具,如FindBugs、PMD、Checkstyle等。这些工具可以帮助检测潜在的代码问题和安全漏洞。 4. 分析代码逻辑:深入理解代码的业务逻辑和实现细节。通过阅读源代码、调试程序等方式,了解代码的执行流程、数据处理过程,找出潜在的安全风险。 5. 学习常见漏洞的检测方法:掌握常见漏洞的检测方法,如SQL注入的检测、XSS攻击的检测等。了解常见漏洞的原理和利用方式,通过测试用例和代码分析来发现漏洞。 6. 学习安全修复和防御措施:了解常见的安全修复和防御措施,如输入验证、输出编码、参数化查询等。学习如何修复漏洞和提高代码的安全性。 以上是Java代码审计入门的一些重点,希望对你有帮助!如果有更具体的问题,欢迎继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值