java审计2

最新推荐文章于 2024-10-05 15:32:56 发布
原创 最新推荐文章于 2024-10-05 15:32:56 发布 · 146 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #后端

本文深入探讨了Java中的JNDI注入和RMI远程调用的安全问题,通过实例展示了如何利用Spring框架的漏洞,通过构造恶意的RMI服务触发远程代码执行。讲解了JNDI Naming References的概念,以及攻击者如何通过lookup过程下载并执行恶意类。同时,提到了防御此类攻击的方法,强调了安全配置和代码审查的重要性。

[基础知识]

ServerSocket详解

RMI远程调用

Java 中 RMI、JNDI、LDAP、JRMP、JMX、JMS那些事儿(上)

[漏洞学习]

Spring jndi注入:

JNDI with RMI - 安全客,安全资讯平台

https://xz.aliyun.com/t/4615

攻击Java中的JNDI、RMI、LDAP(二) - Y4er的博客

jndi配合rmi实现反序列化命令执行。原理就是spring框架的lookup参数可控,就可以让server端去请求我们自己构造的rmi服务,其中包括恶意代码。其中利用到jndi的特性:

由于远程调用的类过大或者不稳定,JNDI提出了Naming
References的方法,返回相应的Reference而不返回具体的obj。统一由JNDI的请求端去加载指定的地址上的obj

也就是说我们搭建一个带有恶意类的服务器,其中这个服务器地址绑定在rmi服务上。我们发送给带有spring漏洞的服务器我们的rmi地址,让他去lookup,然后去访问我们的服务器,下载恶意类并反序列化。

利用过程就是这张图

请添加图片描述
服务端启动:

请添加图片描述

客户端向服务端发送恶意代码导致命令执行:

请添加图片描述

Java代码审计技巧
悦分享
07-15 1590
自定义搜索范围示例:自定义搜索范围后就可以在搜索时使用自定义的配置进行范围搜索了,有助于我们在挖漏洞的时候缩小代码定位范围。
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf ... 31.Struts2漏洞审计与分析.pdf 32.代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
php_rce(攻防世界lv.2)
qq_66013948的博客
10-25 481
可以看到当前目录内的文件,既然这样能够成功,那么我们就可以试着把退回根目录找有关flag的文件夹或者文件,最后在根目录上找的了个flag的文件夹,之后就是构造payload为。这是一道关于thinkphp5的一个典型的rce漏洞,可以去。里面看有关漏洞的分析,通常构造的payload为。可以看到flag了。
Java中的代码审计
weixin_46372265的博客
07-22 1699
代码审计,顾名思义,就是对代码进行系统的检查和分析,以发现潜在的问题或优化点。它不仅仅是寻找代码中的错误或漏洞,更是为了确保代码的质量、安全性和性能。代码审计可以分为手工审计和自动化审计两种方式。手工审计需要经验丰富的开发人员逐行检查代码,而自动化审计则借助各种工具和技术来高效地扫描和分析代码。
java 审计日志_审计日志的实现
weixin_35902481的博客
02-16 4464
切面的entity用来记录审计日志的内容.切面类用来实现记录升级日志的操作.这里还有一些辅助的类,比如枚举类,枚举出了所有的模块及名称.这些基本工作做好了以后,在需要使用审计日志的模块中,添加类似下面这样一段语句就可以了。以导入为例,我要为导入添加审计日志。先实例化一个审计日志AuditLog,然后执行相应的方法就可以了。我这里调用的是导入的import2DB,导入方法。由此可以推断:我在审计日志...
java代码审计常见思路
最新发布
qq_63144807的博客
10-05 363
找到外部传入的参数并对它进行追踪,查看有没有因为校验不严然后传入了一些高危方法,或者查看有没有代码逻辑漏洞给。代码审计以白盒测试为主,但可以通过黑盒测试快速定位接口和方法,更全面的分析。4.第三方组件,中间件审计,查看组件中间件版本,搜寻是否有历史漏洞的影响。查看敏感方法的参数,排查参数的传递与处理,判断变量是否可控并且严格过滤。使用静态工具可以显著提高效率,比如Fortify,昆仑镜,seay等。根据经验判断哪个部分更容易出现漏洞,直接对功能点代码进行审计。5.补丁对比,通过补丁逆推漏洞。
java 审计功能_Java代码审计入门篇
weixin_26712065的博客
02-13 1165
本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0x00 Java环境说明1. 安装Java环境首先是要安装JAVA相应的JDK安装包和相应的环境变量的配置。安装完成后默认的安装目录:环境变量的...
JAVA代码审计初探
crystal_shrimps的博客
08-31 577
写在前面 最近要做代码审计,事先预习了一下,整理了代码审计需要的基础知识和一些可简单审计的漏洞。 参考:JAVA安全编码与代码审计 JAVA常用架构 maven 根目录下有pom.xml MVC 大部分web项目都基于MVC开发,model(模型)+view(视图)+controller(控制器) dao层,service层,controller层(web),view层 controller 负...
Java代码审计-命令执行
qq_44780157的博客
07-31 2017
Java代码审计-命令执行
Java代码审计——Commons Collections2 TransformingComparator
王嘟嘟的博客
11-30 1284
0x00 前言 反序列化总纲 分析完TemplatesImpl,接着来看除了使用迭代外其他的调用链。 0x01 TransformingComparator 看了一下api说明,这个类是类转换比较器,会调用compare 看一下类: 首先是构造方法会存储Transformer 然后在compare中调用了transform 也就是触发了compare即可触发transform POC //构造恶意类TestTemplatesImpl转换为字节码并进行base64编码 ClassPool classPoo
Java代码审计
2301_76786857的博客
03-11 2551
Java 是一种跨平台的编程语言,具有良好的可移植性和灵活性,因此在各种应用领域得到了广泛应用。从企业级应用到移动应用,从 Web 应用到嵌入式系统,Java 都有着重要的地位。然而,由于 Java 的普及性和复杂性,其中的安全漏洞和代码缺陷也变得更加普遍。 Java 代码审计是对使用Java编写的软件代码进行全面检查和分析,通过白盒的方式发现其中的安全漏洞和潜在风险,代码审计已成为保护网络安全性的重要手段之一。
精选资源
Java代码审计案例及修复
12-22
Java 代码审计案例及修复 Java 代码审计是指对 Java 源代码进行安全审查和评估,以发现潜在的安全漏洞和风险。Java 代码审计案例及修复旨在提供一个 Java 代码审计的实践指南,涵盖了 Java 代码审计的基本概念、...
精选资源
java代码审计常规思路和方法
12-22
java代码审计常规思路和方法
精选资源
Java代码审计(入门篇).pdf
10-21
在这样的背景下,《Java代码审计(入门篇)》一书应运而生,为Java开发人员提供了一本详尽的代码安全审计指南,帮助他们掌握如何在开发阶段发现并修复安全漏洞,提升Java Web应用的安全性。 书中开篇即明确指出,...
精选资源
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf ... 31.Struts2漏洞审计与分析.pdf 32.代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
IAST安全扫描原理
superprintf的博客
01-05 6292
IAST:交互式应用程序安全测试(Interactive Application Security Testing),是黑盒测试(SAST),白盒测试(DAST)结合优点而成的灰盒测试 其交互性体现在agent和扫描器之间的交互,分为三类,1.主动型,2.被动型(流量型暂不考虑在内,因为未实现agent) 主动IAST agent使用java动态代理,在程序运行时修改字节码插入代码(即插庄)。 1.agent部署:agent会是一个jar文件,程序运行的时候设置代理为agent,比如运行java程序的时候
学习spf记录引发的问题(一)
superprintf的博客
02-22 4924
dns一系列学习
VMware虚拟机搭建渗透网络及原理解析
superprintf的博客
11-18 4792
这篇文章的写作顺序: 1.先熟悉VMware三种模式 本人是MacBook,如果你是windows电脑可以参考 https://blog.youkuaiyun.com/weixin_42442713/article/details/80903173 2.实验VMware三种模式 3.按照metasploit魔鬼训练营中的环境搭建网络(一个小公司网路模型) //# vmware网络配置的进阶请参照官网教程 //# https://docs.vmware.com/cn/VMware-Workstation-Pro/inde
java审计4
superprintf的博客
12-27 2363
[基础知识] 巩固一下:深入理解JNDI注入与Java反序列化漏洞利用 Java RMI codebase 小议 ldap [fastjson1.2.22下载] Download fastjson-1.2.22.jar file - Jar f 下载后新建工程,导入jar包 [漏洞学习] 1.Fastjson 1.2.22-1.2.24反序列化漏洞分析: https://xz.aliyun.com/t/8979 (漏洞复现要用1.8.0_102之前的jdk,JDK 8u113 之后,系统属性 com.sun
Java审计严重性级别分析工具
综上所述,“audit-severity”这一概念涉及了审计、安全以及Java编程的多个方面,它涵盖了从审计事件的识别、记录、分析到响应的整个流程,以及在Java环境中如何实现审计功能的技术细节。在现实应用中,这可能意味着...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值