java-sec-code ssrf

最新推荐文章于 2024-02-27 00:34:41 发布
最新推荐文章于 2024-02-27 00:34:41 发布
阅读量744 收藏 2
点赞数
分类专栏: java security code 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44687621/article/details/119835126
版权

SSRF漏洞

SSRF(Server-side Request Forge, 服务端请求伪造)。 由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。

利用伪协议读取文件

由于Java没有php的cURL,所以Java SSRF支持的协议,不能像php使用curl -V查看。

Java网络请求支持的协议可通过下面几种方法检测:

  • 代码中遍历协议
  • 官方文档中查看
  • import sun.net.www.protocol查看

SSRF是由发起网络请求的方法造成。所以先整理Java能发起网络请求的类。

  • HttpClient及其派生类Request等
  • HttpURLConnection
  • URLConnection
  • URL
  • okhttp

这里只简单分析URLConnection类实现对伪协议的支持。

漏洞代码
    @RequestMapping(value = "/urlConnection/vuln", method = {RequestMethod.POST, RequestMethod.GET})
    public String URLConnectionVuln(String url) {
        return HttpUtils.URLConnection(url);
    }

这里调用了工具类HttpUtils中的URLConnecione方法。

public static String URLConnection(String url) {
    try {
        URL u = new URL(url);
        URLConnection urlConnection = u.openConnection();
        BufferedReader in = new BufferedReader(new InputStreamReader(urlConnection.getInputStream())); //send request
        // BufferedReader in = new BufferedReader(new InputStreamReader(u.openConnection().getInputStream()));
        String inputLine;
        StringBuilder html = new StringBuilder();

        while ((inputLine = in.readLine()) != null) {
            html.append(inputLine);
        }
        in.close();
        return html.toString();
    } catch (Exception e) {
        logger.error(e.getMessage());
        return e.getMessage();
    }
}

这里调用了URL类中的openConnection方法,继续到接口查看,发现这里调用的handler类中的openConnection方法

在这里插入图片描述

点击之后就会跳转到file协议下的Handler.class文件中,这里就是对file协议的处理逻辑

    public synchronized URLConnection openConnection(URL var1) throws IOException {
        return this.openConnection(var1, (Proxy)null);
    }

    public synchronized URLConnection openConnection(URL var1, Proxy var2) throws IOException {
        String var4 = var1.getFile();
        String var5 = var1.getHost();
        String var3 = ParseUtil.decode(var4);
        var3 = var3.replace('/', '\\');
        var3 = var3.replace('|', ':');
        if (var5 != null && !var5.equals("") && !var5.equalsIgnoreCase("localhost") && !var5.equals("~")) {
            var3 = "\\\\" + var5 + var3;
            File var6 = new File(var3);
            if (var6.exists()) {
                return new UNCFileURLConnection(var1, var6, var3);
            } else {
                URLConnection var7;
                try {
                    URL var8 = new URL("ftp", var5, var4 + (var1.getRef() == null ? "" : "#" + var1.getRef()));
                    if (var2 != null) {
                        var7 = var8.openConnection(var2);
                    } else {
                        var7 = var8.openConnection();
                    }
                } catch (IOException var10) {
                    var7 = null;
                }

                if (var7 == null) {
                    throw new IOException("Unable to connect to: " + var1.toExternalForm());
                } else {
                    return var7;
                }
            }
        } else {
            return this.createFileURLConnection(var1, new File(var3));
        }
    }

上面的代码对file协议获的参数进行处理,由于这里不满足条件,没有进入if语句,于是直接进行了返回。

在这里插入图片描述

这里调用FileURLConnection的构造函数。

在这里插入图片描述

最后urlConnection变量的值就是FileURLConnection对象,接下来会调用这个对象的getInputStream方法返回输入流。

在这里插入图片描述

可以看到这里首先调用了该类中的connect()方法。这个方法调用方法BufferedInputStream从文件中读取数据,放到is变量中。

在这里插入图片描述

最后使用while循环将读取到的文件流逐行输出。

在这里插入图片描述

漏洞修复
@GetMapping("/urlConnection/sec")
public String URLConnectionSec(String url) {

    // Decline not http/https protocol
    if (!SecurityUtil.isHttp(url)) {
        return "[-] SSRF check failed";
    }

    try {
        SecurityUtil.startSSRFHook();
        return HttpUtils.URLConnection(url);
    } catch (SSRFException | IOException e) {
        return e.getMessage();
    } finally {
        SecurityUtil.stopSSRFHook();
    }

}

上面的代码,首先对url进行验证,验证url是否以http和https开头,接着调用钩子函数实现工厂。

具体代码可以看看源码的security模块下的ssrf包。

除此之外,其他类的实现也是编写了安全代码。

例如httpURLConnection类,其他相关类的实现基本类似。

    @GetMapping("/HttpURLConnection/sec")
    public String httpURLConnection(@RequestParam String url) {
        try {
            SecurityUtil.startSSRFHook();
            return HttpUtils.HTTPURLConnection(url);
        } catch (SSRFException | IOException e) {
            return e.getMessage();
        } finally {
            SecurityUtil.stopSSRFHook();
        }
    }

任意文件下载读取文件

漏洞代码
@GetMapping("/openStream")
public void openStream(@RequestParam String url, HttpServletResponse response) throws IOException {
    InputStream inputStream = null;
    OutputStream outputStream = null;
    try {
        String downLoadImgFileName = WebUtils.getNameWithoutExtension(url) + "." + WebUtils.getFileExtension(url);
        // download
        response.setHeader("content-disposition", "attachment;fileName=" + downLoadImgFileName);

        URL u = new URL(url);
        int length;
        byte[] bytes = new byte[1024];
        inputStream = u.openStream(); // send request
        outputStream = response.getOutputStream();
        while ((length = inputStream.read(bytes)) > 0) {
            outputStream.write(bytes, 0, length);
        }

    } catch (Exception e) {
        logger.error(e.toString());
    } finally {
        if (inputStream != null) {
            inputStream.close();
        }
        if (outputStream != null) {
            outputStream.close();
        }
    }
}

这里访问http://localhost:8080/ssrf/openStream?url=file:/D:/test.txt即可获取D盘下的test.txt文件

在这里插入图片描述

URL类会对传入的参数url进行处理,这里没有特殊格式,所以传出的变量url没有改变。同样的这里使用file协议,调用和上面的一样。

在这里插入图片描述

最后设置的response作为响应,是客户端下载文件。

漏洞修复

修复方法类似,使用作者定义的钩子即可。

最好是不使用伪协议实现文件下载。

一睡12点
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SecurityUtil.java
08-07
微信公众号开发SHA1加密工具类,使用工具类可以多快好省地接入微信开发
java-sec-code:基于springboot和spring securityJava Web常见漏洞和安全代码
02-03
Java秒代码 Java sec代码是用于学习Java漏洞代码的非常强大且友好的项目。 介绍 该项目也可以称为Java漏洞代码。 除非没有漏洞,否则默认情况下,每个漏洞类型代码都有一个安全漏洞。 相关的修订代码在注释或代码中。 具体来说,您可以查看每个漏洞代码和注释。 登录用户名和密码: admin/admin123 joychou/joychou123 漏洞代码 按字母排序。 漏洞描述 怎么跑 该应用程序将使用mybatis自动注入。 请提前运行mysql服务器,并配置docker服务器以外的mysql服务器数据库的名称和用户名/密码。 spring.datasource.url=jd
Java代码审计】SSRF
最新发布
qq_48201589的博客
02-27 927
SSRF(Server-Side Request Forge, 服务端请求伪造) ,即攻击者构造恶意参数使服务端对其它内/外网系统进行访问或者攻击的一种方式。
uptime-checks-ssrf
04-06
介绍 该实验室是Google Cloud Monitoring的模拟易受攻击的正常运行时间检查功能。 这是视频,介绍在那里发现的31,000美元盲SSRF的理论: 该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行时间检查”功能,而另一个没有从容器中公开的服务可以模拟GCP元数据终结点(准确地说是其中的几个)。 该应用程序是免费的,但并非没有错误。 肯定有一些未处理的异常等。 如果遇到有趣的问题,请创建一个问题。 安装 选项1:git clone + docker git clone https://github.com/gregxsunday/uptime-checks-ssrf.git cd uptime-checks-ssrf docker build -t gcp-ssrf .
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:fire: 自卫队 :fire: v1.12最新 burp的SSRF插件,可在所有请求中自动进行SSRF检测 如果您遇到任何问题或想要下面未列出的新功能,请在此表格中创建一个新的问题 即将发布的功能清单 :check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载 它将很快能够测试Json和XML 测试SMTP SSRF 如何安装/建造 git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在build / libs下找到文件“ ssrf-king.jar”,然后可以将其导入Burpsuite。 另外,goto可以下载编译的文件。 特征 :check_mark: 测试所有外部交互的请求。 :check_mark: 检查是否有任何交互不是用户IP(如果有的话),它是一个开放的重定向。 :check_mark: 提醒用户任何外部交互,包括以下信息:
java-vulnerability
04-23
Java秒代码 Java sec代码是用于学习Java漏洞代码的非常强大且友好的项目。 介绍 该项目也可以称为Java漏洞代码。 除非没有漏洞,否则每个漏洞类型代码默认都有一个安全漏洞。 相关的修订代码在注释或代码中。 具体来说,您可以查看每个漏洞代码和注释。 由于服务器到期,因此在线演示站点必须脱机。 登录用户名和密码: admin/admin123 joychou/joychou123 漏洞代码 按字母排序。 ooxmlXXE 路径遍历 RCE 运行 流程构建器 脚本引擎 Yaml反序列化 Groovy 昂首阔步 SpEL SQL注入 SSRF 科学技术研究院 URL重定向 URL白名单绕过 xlsxStreamerXXE XSS XStream的 XXE 漏洞描述 RCE执行器 CORS CSRF 反序列化 Fastjson Java RMI JSO
java代码审计-SSRF
Gefangenes的博客
06-20 281
SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定 URL 地址获取网页文本内容,加载指定地址的图片,下载等等。这里主要介绍java中和两个方法产生SSRF的原理和修复方法。
SSRF 漏洞的原理以及 Java 中的处理
千里之行
01-17 3116
SSRF 漏洞的原理以及 Java 中的处理SSRF漏洞的原理有漏洞的 Java 代码示例Java 中如何避免 SSRF开源项目 SSRF漏洞的原理 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是由攻击者构造非授权的 URL, 由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 比如黑客攻击公司内部的论坛, Wiki, 工作流, 项目管理等系统. 大量的内部系统都提供内部匿名的访问方式, 不需要登陆即可以从内网访问到. 当一个
SSRF安全威胁在JAVA代码中的应用
angjiu8534的博客
05-26 784
如上图所示代码,在进行外部url调用的时候,引入了SSRF检测:ssrfChecker.checkUrlWithoutConnection(url)机制。 SSRF安全威胁: 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程...
ssrf漏洞 java反_SSRF漏洞分析与利用
weixin_35431719的博客
02-22 1293
前言:总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的0x01 漏洞产生以curl为例,漏洞代码为ssrf.php$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);#curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);curl_setopt($ch, CURL...
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#[email protected]:80/ http://127.88.23.245:22/+&@google.com:80#[email protected]:80/ http://google.com:80+&@google.com:80#[email protected]:22/ http://127.88.23.245:22/[email protected]:80/ http://127.88.23.245:22/#@www.google.com:80/ http://google.com:80\\@127.88.23.245:22/ htaccess-各种情况下的重定向测试 状态码:300、301、302、303、305、307、308 文件类型:jpg,
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-req-filter 用法 轴: const ssrfFilter = require('ssrf-req-filter'); const url = 'https://127.0.0.1' axios.get(url, {httpAgent: ssrfFilter(url), httpsAgent: ssrfFilter(url)}) .then((response) => { console.log(`Success`); }) .catch((error) => {
【小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记(WEB攻防35-40-XSS、CSRF、SSRF)
qq_46343633的博客
12-22 680
1、XSS跨站-原理&攻击&分类等2、XSS跨站-反射型&存储型&DOM型等3、XSS跨站攻击手法&劫持&恣取凭据等4、XSS跨站-攻击项目&XSS平台&Beef-XSS1、原理指改击者利用网程序对用户输入过不足,端入可以量示在页面上对其他用尸道成影响的HTML代码,从而盗取用户资料、利用用户具份进行某种动或者对访问者进行病毒侵害的一种攻击方式,通过在用户端注入恶意的可执行脚本,若服务器时用户的第人不进行处理或处理不严,则浏览器就会夏接执行用户注入的脚本。反馈与浏览。
第十届南京邮电大学网络攻防大赛(NCTF 2021)writeup
渗透测试研究中心
12-22 8255
WebX1cT34m_API_SystemAuthor:wh1sper题目描述:在API安全的新时代,安全圈迎来风云变幻。掀起巨浪的你?只手遮天的你?选择保护还是放弃你的曾经的伙伴?target:http://129.211.173.64:58082/附件链接:https://wwn.lanzoui.com/iUoDwwyfdxchint1:the hidden API to bypass 4...
JAVA代码审计之SSRF
Jiajiazml的博客
09-23 2268
本文从漏洞原理、审计函数、漏洞危害、漏洞代码示例、实战案例、漏洞防御方式等几个方面介绍了SSRF漏洞攻击
网络安全笔记-SSRF
L120305q的博客
08-19 745
网络安全笔记-SSRF
[Java-sec-code学习]SSRF
Y4tacker的博客
06-27 687
文章目录前言SSRF修复方式 前言 今天预览版把我电脑搞崩了破防了CPU占用率100%,还好可以回滚版本,当然虽然是最简单的漏洞,但是底层代码我也觉得值得学习,一切从0开始 SSRF 其实闭着眼睛都知道支持file协议但是我还是想要分析一下 漏洞点位于org/joychou/controller/SSRF.java下 跟进这个URLConnection方法 他把url参数首先传入构造函数里,接着调用openConnection方法 很明显我们传入参数不满足上面条件进入else循环 调用构造函数
rasp java tomcat_Java底层防护 - OpenRASP核心源码浅析
weixin_34916566的博客
02-27 525
0x01 介绍IntroductionUnlike perimeter control solutions like WAF, OpenRASP directly integrates its protection engine into the application server by instrumentation. It can monitor various events includi...
alert http any any -> any any (msg:"疑似SSRF攻击"; http.uri; content: "="; pcre:"/=file|=http|=https|=dict|=gopher|=phar/i"; classtype: web-ssrf-attack; sid: 561006; rev: 1;)这里面的pcre是什么意思
05-24
pcre是PCRE(Perl Compatible Regular Expressions)的缩写,是一种支持正则表达式的模式匹配库。在这个规则中,pcre:"/=file|=http|=https|=dict|=gopher|=phar/i"表示使用正则表达式来匹配HTTP请求的URI中是否包含file、http、https、dict、gopher或phar字符串,其中/i表示不区分大小写匹配。如果匹配成功,则触发规则,认定为疑似SSRF攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值