Go特有的安全漏洞及渗透测试利用方法(通俗易懂)

原创 于 2025-08-20 09:15:03 发布 · 729 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #开发语言 #后端 #安全 #系统安全 #网络安全 #web安全

任何编程语言和软件项目,都会存在安全漏洞,只有漏洞利用成本的高低!

本文章仅提供学习,切勿将其用于不法手段!

一、切片越界漏洞(堆溢出攻击)​

原理​:
Go的切片(slice)操作如果未校验长度,可能直接操作底层数组导致越界写入。比如直接用用户输入的DataLen作为切片长度,而忽略底层数组的实际容量,造成堆内存破坏。

渗透测试利用方法​:

  1. 构造恶意请求​:发送超长数据触发切片越界。

    # 假设服务端代码类似:
// handleEdit函数中
editSlice := buf.Data[:req.DataLen]  # 未检查req.DataLen是否超过buf.Data的容量
copy(editSlice, req.Data)           # 越界写入

    构造请求时,将DataLen设为极大值(如0xffffffff),覆盖相邻堆块的控制信息。

  2. 劫持控制流​:通过覆盖mcache结构(Go运行时内存管理关键结构),最终劫持GMP调度器执行任意代码。

防御​:

  • 严格校验切片长度:if req.DataLen > cap(buf.Data) { return }
  • 使用sliceHeader校验库(如golang.org/x/exp/slices)。
二、反序列化漏洞(对象劫持)​

原理​:
使用encoding/gobencoding/json反序列化时,若结构体包含指针字段,攻击者可构造恶意数据修改指针指向,触发代码执行。

渗透测试利用方法​:

  1. 伪造序列化数据​: 
    // 恶意结构体
type Evil struct {
    FuncPtr *func()  // 指向恶意函数
}
payload := encode(Evil{FuncPtr: &maliciousFunc})
  2. 触发反序列化​:将payload发送至目标接口,覆盖原有对象的方法指针。

防御​:

  • 避免反序列化不可信数据。
  • 使用json.RawMessage延迟解析敏感字段。
三、模板注入(SSTI)​

原理​:
使用text/template渲染用户输入时,未过滤模板表达式,导致执行任意代码(如系统命令、文件读取)。

渗透测试利用方法​:

  1. 注入模板代码​: 
    # 构造payload:
{{exec "cat /etc/passwd"}}  # 执行命令
{{range .Files}}{{.}}       # 遍历敏感文件
  2. 触发渲染​:通过HTTP参数传入payload,服务端直接渲染导致命令执行。

防御​:

  • 使用html/template(自动转义)。
  • 白名单过滤用户输入,禁用危险函数(如exec)。
四、并发竞争条件(数据竞争)​

原理​:
多个Goroutine并发读写共享变量未加锁,导致数据不一致或崩溃。

渗透测试利用方法​:

  1. 构造并发请求​: 
    # 并发触发计数器自增:
curl -X POST http://target/incr_counter -d "id=1" &
curl -X POST http://target/incr_counter -d "id=1" &
  2. 观察结果异常​:最终计数器值小于预期,触发业务逻辑漏洞(如库存超卖)。

防御​:

  • 使用sync.Mutexsync.RWMutex保护共享变量。
  • 启用竞态检测:go build -race
五、依赖漏洞(供应链攻击)​

原理​:
第三方库存在已知漏洞(如CVE-2021-44716),攻击者通过升级恶意版本植入后门。

渗透测试利用方法​:

  1. 替换依赖版本​: 
    go mod edit -replace=vulnerable-package=./malicious-lib
go mod tidy
  2. 触发后门​:通过恶意库的初始化代码执行命令。

防御​:

  • 定期扫描依赖:govulncheck ./...
  • 锁定依赖版本:go mod vendor生成vendor目录。
六、GMP调度器劫持

原理​:
Go的GMP模型(Goroutine、Machine、Processor)中,若攻击者能伪造g结构体(Goroutine控制块),可劫持调度器执行任意代码。

渗透测试利用方法​:

  1. 伪造g结构​: 
    fakeG := &g{
    stack: stack{lo: 0x400000, hi: 0x401000},  // 伪造栈空间
    sched: gobuf{sp: 0x400000, pc: 0x400100},   // 指向shellcode
}
  2. 覆盖调度器指针​:通过堆风水布局,将mcache中的g指针指向伪造结构。

防御​:

  • 避免直接操作g结构(仅限内部使用)。
  • 启用Go的调度器防护(默认开启)。

总结:Go漏洞的“防身三板斧”

  1. 输入过滤​:所有用户输入必须白名单校验,拒绝特殊字符(如../{{)。
  2. 安全配置​: 
    # 编译时开启安全检查
go build -gcflags="-B"  # 禁用边界检查(仅测试用)
go build -tags=asan      # 启用地址消毒剂
  3. 代码审计​:重点检查unmarshaltemplate.Executeslice操作等高风险代码。

一句话口诀​:

切片要校验,模板别乱用,并发加锁忙,依赖勤扫描!

注​:所有技术研究需遵循《网络安全法》及《数据安全法》相关规定,践行合法合规的网络安全技术探索

提示:最有效的防御办法,是让攻击者由于攻击成本过高,而主动放弃针对目标进行攻击!

没有攻不破的城墙,只有 由于 付出成本 远超于 收获价值 而 选择 主动放弃 攻击行为 的 敌人 !

Golang网络安全漏洞检测
rita_0567的博客
01-08 704
例如,我们可以使用"golang.org/x/time/rate"包中的"rate.Limiter"来实现简单的令牌桶限流算法,对客户端的访问进行限制。在Golang网络应用程序开发过程中,我们需要时刻关注网络安全问题,并且通过各种手段来进行网络安全漏洞检测,以确保网络系统的安全性。通过以上的例子,我们可以看到,在Golang中通过使用html/template、database/sql和限流算法等方式来进行网络安全漏洞检测,从而保证Golang网络应用程序的安全性。二、Golang网络安全漏洞检测。
Goby 通过反序列化漏洞一键打入内存马【利用篇】_命令执行注入内存马
2401_84931491的博客
05-13 801
在全部配置完成后,点击生成,就可以将生成的反序列化 payload 进行保存了。关于 Gadget、利用方式等相关信息的更多介绍,可以查看我开源项目的 ReadMe 或源代码。
Go安全漏洞扫描工具Gosec详解
十年运维开发经验的王义杰在此分享自己的知识和经验
11-25 1261
Gosec(之前称为 Gas)是一款开源的 Go 语言安全扫描工具,它能够自动检测 Go 代码中的安全漏洞Gosec 通过分析 Go 代码的抽象语法树(AST),来识别出潜在的安全问题,如 SQL 注入、未处理的错误、不安全的加密方法等。Gosec 作为一款功能强大的 Go 语言安全扫描工具,可以帮助开发者及时发现并修复代码中的安全漏洞。通过将 Gosec 集成到开发流程中,我们可以大大提高 Go 项目的安全性,确保软件的健康稳定发展。
Golang漏洞管理体系以及govulncheck漏洞检测工具介绍
TomCN0803的博客
01-31 1661
govulncheck根据不同的分析目标会有不同的分析策略,例如在分析Go源码文件(*.go)时,会使用当前本地环境变量中默认的Go配置信息;govulncheck是前文提到的Go官方编写的Go项目漏洞检测二进制工具,开发者运行该工具就可以检查Go项目中的漏洞漏洞检测工具govulncheck文档:https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck。其中govulncheck是一个Go编写的二进制工具,开发者运行该工具就可以检查Go项目中的漏洞
Go 语言反序列化漏洞解析
m0_57836225的博客
11-12 736
例如,如果一个结构体中有指针类型的字段,攻击者可能通过精心构造序列化数据来修改指针指向的内容,或者通过修改结构体中的某些关键字段值来影响程序的逻辑,比如改变权限相关的字段。攻击者可以篡改序列化数据中的权限字段,从而提升自己的权限,获取对敏感资源的访问。此外,如果应用程序在反序列化后根据对象的某些属性执行敏感操作(如根据用户结构体中的角色属性执行不同级别的数据库操作),攻击者可以篡改这些属性来执行未经授权的操作。在设计用于序列化的结构体时,避免使用可能被滥用的指针类型,或者对指针的使用进行严格的安全控制。
漏洞预警|golang net/url 路径穿越漏洞
LJQClqjc的博客
09-14 1351
近日网上有关于开源项目golang net/url 路径穿越漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
Golang 防止路径遍历漏洞
Dablelv 的博客专栏。
03-15 1998
路径遍历漏洞,也被称为目录遍历漏洞,是一种常见的安全漏洞类型,攻击者可以通过该漏洞访问或修改应用程序之外的目录或文件。这种漏洞通常由于应用程序在接受用户输入时没有正确过滤或验证用户提供的文件路径导致。攻击者可以通过构造特定的输入,使得应用程序执行意外的操作,例如读取敏感文件、修改应用程序之外的文件或删除文件等。如果不对用于输入的路径进行过滤,那么上面的请求路径将被路由到其他桶,导致重要数据泄露。
【白盒测试通俗解释及设计方法】白盒测试通俗解释及设计方法
05-23
白盒测试白盒测试通俗解释及设计方法白盒测试通俗解释及设计方法白盒测试通俗解释及设计方法白盒测试通俗解释及设计方法白盒测试通俗解释及设计方法白盒测试通俗解释及设计方法白盒测试通俗解释及设计方法白盒测试...
通俗易懂Go语言教程第1季(含配套资料)
06-15
本教程为授权出品 本教程源码级深度讲授区块链主流开发语言Go,采用真实案例,全面具体可落地,从理论到实践,一步一步将Go核心...通过学习本教程,可掌握go语言编程思想和Go的底层机制,具备真正的Golang开发经验。
安全加密通俗易懂基础.pptx
06-04
适合:学生/网络运维/开发/程序员等了解基本的知识
通俗易懂的随机森林模型讲解
02-20
但绝大多数大神讲解都是注重于理论,把算数的地方都给忽略了,我这次要以举例子的方法来讲解,这样可以让大家更好的理解随机森林模型。首先我们来定义一下随机森林,啥叫随机森林呢,森林指的是有一堆大树的地方,...
golang中json反序列化可能遇到的问题
12-26
前言 在golang中,当浮点数超过一定数值的时候,golang会把它弄成科学计数法的形式进行显示(好像只要大于七位数就变成科学计数法了) var val float64 val = 1000000 fmt.Println(val) // ==> 1e+06 而在日常开发中,我们经常遇到这样一个问题,就是要反序列化前端传递来的json,因为数据结构未知,所以我们便会使用map[string]interface{}来接收反序列化的结果。由于golang将json解析到interface{}类型的时候,遵循如下规则 bool 代表 JSON booleans, float64 代表 JS
4、渗透测试全解析:从基础到实战
最新发布
o4p5q6r7s的博客
07-26 62
本文全面解析了渗透测试的各个关键阶段,包括应用分解、威胁分析、漏洞评估与利用、后渗透阶段以及报告撰写等内容。同时介绍了多种渗透测试方法(如白盒测试、黑盒测试和灰盒测试)和不同测试类型(如Web应用测试、移动应用测试、社会工程学测试等),详细阐述了黑客攻击的一般阶段和渗透测试的挑战与发展趋势。最后,还探讨了渗透测试人员所需的技术技能、分析能力、沟通协作能力以及道德法律意识,为组织和个人提升系统安全提供了全面的指导。
GoAnywhereMFT反序列化漏洞复现(CVE-2023-0669 )
qq_32445755的博客
02-28 1222
GoAnywhereMFT是一个管理文件传输的解决方案,它简化了系统、员工、客户和贸易伙伴之间的数据交换。它通过广泛的安全设置、详细的审计跟踪提供集中控制,并帮助将文件中的信息处理为XML、EDI、CSV和JSON数据库。2月1日,Fortra(此前名称为HelpSystems)通知GoAnywhere MFT用户注意一个“远程代码注入利用0day”。之后该公司还发布了两份其它安全通知,每份通知都提供了缓解措施和妥协指标 (IoCs)
OpenSSH离线升级 漏洞CVE-2021-41617 & CVE-2020-15778,CentOs7.6升级openssh-8.8p1 & openssl-1.1.1m
08-08 1083
2、检查--with-ssl-dir=/usr/local/ssl命令,将之改为--with-ssl-dir=/usr/local。我们在离线安装或升级openssl时可能会遇见标题的问题,下述办法只做尝试,根据不通的操作系统可能解决办法并不一定起作用。1、重新在执行./config编译openssl时在命令最后面添加--shared。启动不起来 可以使用/etc/init.d/sshd restart重启即可。可以现在外网下载好以下安装包。我是通过方法2解决的。
CTF—Go题目复现
Sentiment的博客
06-23 3904
一道Go的模板注入由于没了解过Go的SSTI所以先简单看下:go语言快速入门:template模板 · Golang语言社区 · 看云 (kancloud.cn)Go SSTI初探 | tyskillのBloggo的SSTI漏洞成因与模板语法和jinja2差不多,都用到了,通过{{.}}我们可以获得到作用域Demo 当使用{{.}}时,会获取person结构体中的所有属性,所以在经过Execute渲染后,便会输出: 除此外若想获取单个属性也可以用 结果 复现 主要有几个路由 先看的flagHandler 中
[HCTF 2018]admin三种解法
u011250160的博客
12-14 6606
打开题目有两个选项以及一个提示信息 判断我们是要以admin的身份登录 这样的话肯定是对login页面进行一番鼓捣 先弱口令爆破一波,因为是个弱口令(123),爆破也能爆破出来 然后这个题就结束了(太tm出乎意料了)… 弱口令不行的话就试试sql注入以及ssti注入 尝试抓包修改自己的角色(实战中真碰到过) 以上就是常规思路 当然这个题不该设个弱口令在那 看下其他的解法 解法一:session伪造 随便注册个账号登录发现新大陆 在change password页面源码发现源码 去github下载源码
Golang那些事】步步为营,如何将GOlang引用库的安全漏洞修干净
killer1989的博客
09-18 949
近期,笔者接到一个任务,因为代码安全原因,需要批量升级一系列的Golang第三方组件,这里面包含了直接引用的第三方库和间接引用的第三方库,其中第三方库也包括能够直接升级和不能直接升级两种,这里把相关解决方案沉淀在此,供大家参考。
一款集合各种exp的实用性工具
Javachichi的博客
05-05 961
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。本工具仅提供安全测试人员使用于授权测试, 禁止使用于未授权测试, 违者责任自负。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。视频配套资料&国内外网安书籍、文档&工具。
通俗易懂开关电源原理及维修教程
资源摘要信息: 《非常好的通俗易懂的开关电源原理与维修7》是一本关于开关电源技术的书籍,该书以深入浅出的方式讲解了开关电源的工作原理,并结合实际案例教授读者如何进行开关电源的维修工作。书中可能涵盖了开关...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值