JavaSec | 某次代码审计比赛记录

最新推荐文章于 2025-08-31 22:35:27 发布
原创 最新推荐文章于 2025-08-31 22:35:27 发布 · 711 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#okhttp #docker #windows #容器 #前端 #python

 目录:

一、背景

二、系统 A

  2.1、 多处后台sql 注入

  2.2、 后台多处存储型xss

  2.3、 3处垂直越权

三、系统 B

  3.1、 鉴权绕过

  3.2、 后台存储型XSS

四、系统 C

  4.1、 前台用户多处越权

  4.2、swagger信息泄露

  4.3、支付代码逻辑缺陷

  4.4、 文件上传

  4.5、存储存储型XSS

  4.6、信息泄露

一、背景

之前某位同事组织了代码审计比赛,周末我抽空看了3套java系统。发现这些CMS有CSRF漏洞,但因为主流浏览器已无法利用,所以没有在文章中展示,也没有提交。

目前只找到当时的 PDF版本,复制过来后格式可能有些不太整齐,请见谅,以下简单记录一下代审思路,比较简单,适合新手学习。

二、系统 A

2.1、 多处后台sql 注入

备注

目前系统存在多处直接拼接参数执行SQL操作,存在SQL注入风险,这里仅举一处作为示例。

复现

img

 

sleep()函数测时间盲注

img

 

代码如下,

img

 

传参直接拼接到了sql 语句中,

img

 

2.2、 后台多处存储型xss

备注

仅展示1处

复现

编辑HTML代码,插入页面提交,

img

 

代码如下

接受前端传参,没有过滤直接入库

img

 

2.3、 3处垂直越权

备注

作者为获取老师和学生信息分别写了3个ajax接口,但鉴权未完善,导致学生也能访问敏感信息。目前发现其中一个接口可通过学号获取学生信息。

复现

img

 

代码如下,

接口处没做鉴权,

img

 

有两个过滤器:一个只拦截“/admin/*”路径用于管理员访问,另一个只校验用户是否登录。

img

 

三、系统 B

3.1、 鉴权绕过

备注

鉴权逻辑有待优化,目前拦截器存在问题,可能导致接口被越权访问。。

复现

用学生账户登录,访问 http://192.168.3.34:8888/teacher/list,即可查看老师的相关信息(包括账户和密码)。

img

 

代码如下,

接口处没有二次鉴权,直接查看结果后返回

img

 

拦截器代码的核心逻辑有问题,url.split("/")[0] 结果是空字符串 ""。比如分割 /teacher/list 得到 ["", "teacher", "list"],而任何字符串都包含空字符串,所以正常登录时条件总是成立。

3.2、 后台存储型XSS

复现

img

 

代码如下

接受参数后,直接入库,没有任何过过滤

img

 

四、系统 C

4.1、 前台用户多处越权

备注

当前仅以越权查看订单信息展示,

复现

A用户查看到B用户订单信息,同理可以查看到任意用户任意订单

img

 

代码如下

虽然获取了userid 但是并未使用, 而是直接将前端传入的订单号带入数据库查看

img

 

4.2、swagger信息泄露

复现

直接在无痕浏览器即可以打开

http://192.168.3.34:8080/v2/api-docs

http://192.168.3.34:8080/swagger-ui.html#/316492970221592controller

img

 

代码如下,

img

 

4.3、支付代码逻辑缺陷

备注

当前代码,没有校验是否成功支付的逻辑,直接点击“支付成功”即可

复现

点击购买任意商品,走到支付,

img

 

img

 

img

 

代码如下,

img

 

img

 

4.4、 文件上传

备注

因为是spring 的jar包部署,正常情况下,文件上传危害有限,目前相当于存储型XSS

复现

img

 

代码如下

直接获取后缀保存。

img

 

4.5、存储存储型XSS

备注

需要管理员在后台做设置,危害一般般 当前仅展示1处

复现

在上面正常添加就行,

img

 

代码如下

img

 

4.6、信息泄露

备注

鸡肋,可忽略

复现

直接get请求就行

http://192.168.3.34:8080/personal/updateInfo

img

javasec | CB链详细分析
zkaqlaoniao的博客
03-26 676
按照CC2过程来,假如我们add进两个值,那么这里的k为0,x为queue[0]的值,也就是我们第一个add进的值,同时看这个方法的内部,那么再分别说一下值问题:​​​​​​​。在ysoserial中给出了解决方法,我们可以先往里面随便add进值,然后再反射更改为我想利用的,那么测试代码可以改为:​​​​​​​​​​​​​​​​​​​​​​​​​​。所以这里是先调用的queue[0],同时结合我们前面的说法,只会调用一次,所以我们这里需要,如下设置:​​​​​​​。它利用反射操作Bean的属性。
JavaSec | SpringAOP 链学习分析
zgz67611的博客
06-03 797
这里的代理类实现接口又是Advice类型只是一层,另一层是后续把这个代理类当作目标类进行处理调用 invoke 方法然后触发方法,再次反射调用方法形成利用。参考:https://gsbp0.github.io/post/springaop/
JavaSec | Hessian 学习分析
zgz67611的博客
01-22 1227
hessian 是个轻量级的远程 http 工具,采用binaray Rpc协议,适合发送二进制数据,同时具有防火墙穿透功能,hessian 一般通过 web 应用来提供服务。一句话说就是Hessian是一个基于http的二进制rpc轻量级工具。什么是 RPC 呢?,远程过程调用,RPC它以标准的二进制格式来定义请求的信息(请求对象、方法、参数等),这种方法传输信息的优点之一就是跨语言及操作系统。
JavaSec | jackson反序列化通杀链
zkaqlaoniao的博客
05-28 1027
前面简单了解了一下jackson反序列化,可以知道在序列化时会调用getter方法,而反序列化时会调用setter,但是都是有一定限制的,这里就来了解一下原生链的打法。测试环境:• JDK8u71。
JavaSec | fastjson反序列化调用链分析
zgz67611的博客
05-22 919
这里来调试分析一下fastjson原生反序列化,也就是比较常打的反序列化调用链。
JavaSec | c3p0反序列化分析
zgz67611的博客
05-27 624
C3P0是JDBC的一个连接池组件在多线程中创建线程是一个昂贵的操作,如果有大量的小任务需要执行,并且频繁地创建和销毁线程,实际上会消耗大量的系统资源,往往创建和消耗线程所耗费的时间比执行任务的时间还长。为了提高效率,我们可以线程池,而连接池也是差不多的原理,其核心作用是预先创建并维护一定数量的数据库连接,供应用程序使用,从而避免频繁创建和关闭连接带来的性能开销。C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。
JavaSec代码审计01-SpringMVC图书购物系统
jayq1的博客
08-13 1013
java安全代码审计,第一个系统的审计过程,大体看看
JAVA-WEB代码审计学习地址
Websec
11-05 735
1、https://javasec.org/ 2、https://xz.aliyun.com/t/7945#toc-27 3、https://blog.csdn.net/fly_hps/article/details/87118519?biz_id=102&utm_term=java%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaidu
JavaSec系列 | 动态加载字节码
2401_89294392的博客
02-10 622
目录:动态加载字节码 字节码 加载远程/本地文件 利用defineClass()直接加载字节码 利用TemplatesImpl加载字节码Java字节码指的是JVM执行使用的一类指令,通常被存储在文件中。在前面类加载机制的学习中,正常情况下URLClassLoader是AppClassLoader的父类。通常情况下,Java会根据配置项sun.boot.class.path和java.class.path中列举的基础路径(这些路径是经过处理后的java.net.URL类)来寻找文件来加载,这个基础路径有分三种
代码审计入门之java-sec-code
MSB_WLAQ的博客
10-13 2813
1.介绍 对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。 2.安装 项目地址https://github.com/JoyChou93/java-sec-code/ java-sec-code是由java开发,使用的框架为springboot,下载到本地后直接使用IDEA导入项目。 选择maven工程选项。 导入项目..
javasec项目
03-27
其核心目标是记录和分享 Java 安全相关的技术知识,涵盖漏洞分析、安全工具开发、代码审计实践等内容,帮助开发者系统性地提升安全开发能力[^1][^2]。 #### 项目特点 1. **开源与免费** 项目托管在 GitHub,采用 ...
javasec安装
03-20
### 如何安装和配置 JavaSec #### 准备工作 为了成功安装和运行 JavaSec,需要完成以下几个方面的准备工作: 1. **下载靶场** 访问官方仓库地址[^1],克隆或下载该项目至本地环境。 2. **修改 `application.yml...
java代码审计之XSS
糖小喵
04-16 1054
介绍: 对于和后端有交互的地方没有做参数的接收和输入输出过滤,导致恶意攻击者可以插入一些恶意的 js 语句 来获取应用的敏感信息。 审计思路: 扫描所有的 HttpServletRequest 查看相关的上下文环境。 这里以javasec为例: 先将1存储进去 这里是将xss存储到了cookie里边 访问就可以看见了 javasec处理方法: 这里提供几个具...
java代码审计之sql注入
糖小喵
04-13 1005
检查点:数据库查询 前言: 在 Java 中,操作SQL的主要有以下几种方式: java.sql.Statement java.sql.PrepareStatement 使用第三方ORM框架 ——MyBatis或Hibernate 下面我们来分析以上几种执行SQL的方式。 java.sql.Statement java.sql.Stateme...
网络请求优化:用 Retrofit 拦截器玩转日志、重试与缓存,OkHttp 和 Volley 谁更香?
大模型大数据攻城狮的专栏
08-30 486
/ 在线缓存时间(秒)// 离线缓存时间(秒)@CacheTime(maxAge = 60, maxStale = 7 * 24 * 60 * 60) // 新闻缓存 1 分钟,离线 7 天@CacheTime(maxAge = 24 * 60 * 60, maxStale = 30 * 24 * 60 * 60) // 用户资料缓存 1 天,离线 30 天。
HTTP 接口调用工具类(OkHttp 版)
java_t_t的博客
08-24 610
本文介绍了HTTP基础知识及一个基于OkHttp的同步HTTP请求工具类实现。首先概述了9种常见HTTP方法(GET、POST、PUT等)的特点及适用场景,特别指出哪些方法支持请求体。随后展示了一个Java实现的HTTP工具类,支持GET/POST/PUT等多种请求方式,包含同步调用、JSON/表单数据格式处理、文件上传等功能。工具类通过OkHttpClient实现,提供了超时设置和统一响应处理。代码示例包含枚举类定义、请求构建和响应处理逻辑,适用于需要简单HTTP客户端功能的Java项目。
Docker 容器(二)
最新发布
2301_80103998的博客
08-31 838
Docker容器数据卷; Dockerfile
Docker中Mysql容器忽略大小写
关关长语
08-31 276
Docker容器配置实现表名大小写不敏感。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值