奇安信攻防社区-记一次学习java代码审计

记一次学习java代码审计

近期学习的代码审计

**前言**
======

企业级进销存管理系统，采用SpringBoot+Shiro+MyBatis+EasyUI构建。  
本次是复现以前的漏洞，以下复现都已经修复。

**项目部署流程**
==========

1、命令行进入Mysql后，创建数据库名为jxc，并切换使用该数据库。

2、将项目文件中的/sql/jxc.sql的数据导入到jxc数据库，注意导入路径中应使用正斜杠/。

3、使用IDEA打开本项目，等待Maven自动加载依赖项，如果时间较长需要自行配置Maven加速源。几个现象表明项目部署成功。pom.xml文件无报错，项目代码已编译为class，Run/Debug  
Configurations...处显示可以运行。

4、修改src/main/resouces/application.properties 配置文件内容，具体如下图所示：  
![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-6868ed8ab9436278449d4f9ace63f4a3518e5022.png)

5、点击启动Run/Debug Configurations...本项目。

6、项目访问地址如下：  
后台地址：<http://127.0.0.1:8888/login.html>  
admin/admin123

**验证码绕过**
=========

验证码重复利用，通过对登陆等核心代码进行审计；梳理登陆过程中的逻辑顺序；

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-b9a1a24a758845ed882e6520154203348051b960.png)

在39行中对login拦截，并通过42行提交登陆参数

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-d3eaf9aa692d0b0c5ccef5eb0169713b79a7cac7.png)  
跟着42行login方法，打开login方法，在47及48行中只对验证码做了验证，验证后并未生成新的验证码；这就可以导致验证码进行无限次验证

47行将输入过来的验证码转为大写后和session中的验证做一次对比，48行如果if判断为否返回错误提示。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-d5c63aa652cddf3c5de7251ac8c0c8a06e3db0c0.png)  
通过这块代码对比可以发现，验证码并未达到一次一码，只要输入一次正确验证码，可以进行无限次爆破。

因此基本可以判断登陆处存在账号密码爆破。

**sql注入审计**
===========

通过对框架的审计发现使用Mybatis框架；Mybatis框架对sql的处理：

${xx}是直接拼接

{xxx}预处理后拼接
===========

全局搜索${ 查看xml中是否有响应配置;并未发现xml中有相应配置

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-f5330385996d077e02ea5393d44e6bc5f8b1870c.png)  
里面都是#{配置

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-f10c22fe1cabda9fa94d8ccf6beee415825e3a96.png)

**这边进行多加分析**
------------

Mybatis 框架
===========

MyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架。  
MyBatis 避免了几乎所有的 JDBC 代码和手工设置参数以及抽取结果集。  
MyBatis 使用简单的 XML 或注解来配置和映射基本体，  
将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。

审计策略
====

这种一般可以直接黑盒找到，如果只是代码片段快速扫描可控制的参数或者相关的sql关键字查看，可能在一般源码中遇到的不是百度中遇到的那种简单的形式，故把我遇到的一些说一下。  
实例：开源的教育平台，这里为控制层（该漏洞已修复）

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-4adf015c76b7f84737858deb48d5d489f87d279c.png)

String\[\] aridArr = request.getParameterValues("articelId");  
关键代码，代码前台获取到具体参数

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-32b85299afd8b568ded1408c039b6b0d60e3c4fd.png)

然后到接口和接口实现类

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-d2863419a82d7e5e48208af3ce3f0db62f11f302.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-93d26de1312e62166fdea184f3192ad652fe5cd7.png)

这里只看最关键的sql部分

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-f626e7d4fc808deeb756bbdcd016cb3b750e55d5.png)

用${}直接拼接，会产生注入，故源头在此处。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-adb9b45f9118e5e32aef45101b87cf02e84db758.png)  
in 语句问题  
Select *from news where id in (#{id})，  
这样写程序会报错，研发人员将SQL查询语句修改如下：  
Select* from news where id in (${id})，  
修改SQL语句之后，程序停止报错，但是可能会产生SQL注入漏洞。

### 1.#和$的区别

1）#{}是预编译处理，$ {}是字符串替换；  
2）变量替换后,#{}对应的变量自动加上单引号 ''；变量替换后,${}对应的变量不会加上引号 ''  
3）#{} 占位符；${} 拼接符；  
4）将传入的数据直接拼接在sq l中。造成sql注入如:whereusername=将传入的数据直接拼接在sql中。造成sql注入如:where username=将传入的数据直接拼接在sql中。造成sql注入如：whereusername={username}，如果传入的值是111,那么解析成sql时的值为where username=111；  
如果传入的值是1 and 1=1 ;则解析成的sql为：select id, username, password, role from user where username=1 and 1=1；

### 2.Foreach遍历迭代

入参采用需要查询的字段集合，遇到像如下的sql代码，则无注入。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-91a299c29ea1b0fc78ad715287ecfc4493accec8.png)

在SQL中通常用在 in 这个关键词的后面  
foreach元素的属性主要有 item，index，collection，open，separator，close；分别代表：  
item表示集合中每一个元素进行迭代时的别名；  
index用于表示在迭代过程中，每次迭代到的位置；  
open表示该语句以什么开始；  
separator表示在每次进行迭代之间以什么符号作为分隔符；  
close表示以什么结束；  
还有其他几种写法，（传入的参数为list或 Array的时候）原理都是差不多的。

### 3.模糊查询

有时候还会遇到如下SQL的例子;也是没有注入的（已知为mysql）

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-785abb786fcba1498af09ae4b61fa440d259784c.png)

这里解释一下为什么要这样写  
1)尽量避免采用$的方式，$会导致SQL注入， LIKE '%$name$%'和LIKE concat( '%',$name$,'%') 都会导致SQL注入 ；  
2)尽量采用 #的方式，#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号;更详细的可以查看$和#的区别；

### 4.Select注释的使用

在我们平常的应用中往往需要用到mybatis去操作一些原生的sql，也可以应用到一些复杂的应用场景。  
一般情况有两种，如图是第一种较为常见

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-0ceddb3f4c8c29a403168e675c43723f9ed777d3.png)

有时候会出现jdbcType类型可以省略，只需字段的类型对齐好数据库中的字段类型即可。这种也是不存在注入的，虽然用了$，但是在下面标注为int类型，不是字符型，故不存在注入。  
第二种就是像我们通常写的xml类似，在注解中使用等相关的标签来实现我们复杂的语句，但是必须在外面一层用标签将sql语句含入进去

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-21a733ff3a2939b3bbf365203929d27c14c0184b.png)

因为sql语句中使用了预编译和模糊查询，故不存在注入。

**xss审计**
=========

在我们审计xss漏洞时，首先要审计是否有xss全局过滤器，对于整套系统来说不可能每个功能点自己搞个xss过滤，一般都是通过全局过滤器来进行过滤；

那么结合代码的框架，我们来看一下过滤器

springboot框架下查看shiro中filter过滤器配置；其中并未发现有xss过滤器配置，基本判断无xss过滤

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-b414e8080607bb1c848e7ed60ef62bffcc2a9814.png)  
在基础资料---供应商管理：payload：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-847d772b2d02ea821504da89975618576ce3cdbf.png)

**任意添加用户信息**
============

添加/修改这类能够直接写入数据库数据的操作

在/role目录下的添加用户操作/save

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-ce7bc883a31336081e6925f130d3ee97405f5a18.png)  
在save方法中只对用户信息做了校验并直接使用addUser()方法将数据进行了提交，并未对提交次数进行验证，因此存在无限次添加用户信息。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-da270f6d86afe591afdac4297322de5e0c43e2bd.png)  
黑盒验证：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-519a0daa4cd2397931b8e794e4d4d7d77348e181.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-b1c6d5c1991608bc6e97bff7a942b2818bb103f8.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-9c583f1099f46e892e3b4c136397b65fb5efc67b.png)

发表于 2022-12-02 09:00:02
阅读 ( 8108 )
分类：代码审计

记一次学习java代码审计

0 条评论