Java代码审计之某商城

原创 已于 2022-03-26 10:46:20 修改 · 4.8k 阅读 · 0
标签
#网络安全 #java #安全
于 2022-03-26 10:28:23 首次发布
本文主要分析了Java商城应用中的安全问题,包括前台和后台SQL注入漏洞,通过构造特定payload展示了如何利用这些漏洞。还讨论了文件上传漏洞,其中提到在管理员权限下的上传点成功上传恶意文件。此外,文章揭示了Log4j命令执行漏洞,并提供了测试payload,证实了漏洞的存在。最后,提到了fastjson反序列化漏洞,并指出了利用此漏洞的潜在方法。

SQL注入

前台SQL注入

​ 通过观察pom.xml引入的依赖可看到引入了极可能产生SQL注入的mybatis,可能产生SQL注入的点就是在使用${}对参数进行接受时,如果没有编写特定的过滤器就会导致存在SQL注入,全局搜索${}

一个一个来看,第一个漏洞点。

需要传入的是${orderUtil.orderBy},按照调用的规则在dao层下存在同名java文件调用

看到OrderUtil,和我们传入的${orderUtil.orderBy}是一个,跟进去看下函数。

有两种传参数方式,传入一个orderBy或者多传入一个排序的参数isDesc,这个参数默认是true,接下来就去看哪里调用了orderBy。发现后台调用的很多,找到一个在前台调用的,通过RequestParam传入,红框下面的那一行代码确定了isDesc这个参数默认为true。所以可以使用上图的一个参数的构造方法。

需要注意下的地方,随便传入两个数字即可,然后后面跟oderBy参数。

Payload

最低0.47元/天 解锁文章
Java Web 工程源代码安全审计实战的第 2部分.pdf
08-16
本文是JavaWeb工程源代码安全审计实战,基于WebGoat工程,讲解四种高危漏洞:文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。
#资源分享达人# 代码审计[java安全编程].doc.zip
08-03
#资源分享达人# 代码审计java
SQL学习笔记 | 04 单表查询之ORDER BY
weixin_44878159的博客
06-07 472
SQL学习笔记 | 04 单表查询--->结果排序:ORDER BY二、ORDER BY1、语法结构2、注意3、Navicat实现 二、ORDER BY 1、语法结构 2、注意 (1)一定是SELECT语句的最后一条字句。(其他子句一定在中间。) (2)排序列不一定需要显示出来。 (3)多列排序:优先排第一个字段,然后排第二个字段。 (4)NULL:不管是日期还是数字(实验表全是正数),N...
MySQL学习笔记:JSON嵌套数组查询
山鬼谣的专栏
06-07 7036
MySQL 5.7简单JSON串就不说了,很简单,来个复杂点的: 在MySQL数据库中,它长这个样子:网上很多都是先对象,然后再嵌套数组,但是我的数据先是个数组,然后嵌套对象,然后再嵌套数组。这种情况下,该如何查询呢?现在想查询,JSON串中城市字段是上海的。............
mybatis学习(41):使用逆向工程
qq_41632427的博客
07-08 531
java
Mybatis框架常见SQL注入攻击以及解决方案
weixin_44012027的博客
08-28 2394
1. 什么是SQL 注入 关于SQL 注入在科普中国的词条上是这样解释的:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 在mybatis 中最常见的注入风险是书写的时候使用${} 来举一个很简单反例 select name from user_info where id = ${id} 正
迷你天猫商城代码审计
qq_52579508的博客
08-30 2432
迷你天猫商城是一个基于Spring Boot的综合性B2C电商平台环境要求:1、Windows 10系统。2、Java版本为1.8.0_261。3、Mysql版本为5.7。
JAVA安全-代码审计-仿真天猫商城
FreyZzz的博客
07-26 391
相关函数:全局搜索:查看函数调用情况,根据注释可以看到在添加产品的时候调用过FastJsonpom查看是否属于漏洞版本1.2.58版本 OK进入正题跟着代码流程走添加产品->抓包在数据包中,找到我们开头代码审计的关键字(传参值)propertyJson测试是否出网:{"@type":"java.net.Inet4Address","val":"xxxxxxxxx.dnslog"}成功带外。
学习笔记-JAVA代码审计
人饭子的博客
11-01 290
JAVA代码审计 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 相关文章 一次从内网到外网,黑盒到白盒的批量挖洞经历 java审计基础 简单java代码审计代码审计_Sylon的博客-CSDN博客_代码审计 记一次对“天猫”商城系统的漏洞挖掘 【Java 代码审计入门-01】审计前的准备 ofCMS代码审计 相关资源 ...
Lilishop 开源商城系统代码审计
hackzkaq的博客
12-07 935
Lilishop 开源商城系统是基于SpringBoot的全端开源电商商城系统,是北京宏业汇成科技有限公司提供的开源系统。该开源商城包含的功能点多,涵盖业务全面,代码审计时没有过于关注业务逻辑只关注了对系统的完整性、保密性、可用性造成损坏的漏洞点。文章分享了比较有意思的SSRF利用方式。在审计SpringBoot框架的代码时,我主要从高危漏洞入手,一般关注注入漏洞比较多。在实践过程中,大部分的业务点不会涉及到远程加载未验证类的情况,存在RCE的地方一般会伴随反序列化漏洞。
代码审计.SpringBoot(Mini-Tmall).sqli
qq_34012951的博客
02-20 380
2、搜索关键特征(mybatis)4、复现,抓包,延时注入。
排序工具
spring
03-28 371
/** * 排序工具 * * @author vernon.chen * */ public class OrderUtil { /** * 构建排序语句 * * @param pageable * 排序对象 * @return 排序语句 */ public static StringBuffer bui...
mybatis操作mysql json
bly1126的专栏
04-21 3746
mysql 引入了支持json格式字段,那么问题来了,想查询json中某个key等于某个值,对于mybatis该怎么写呢? 假设我们mysql db有个字段叫result,json类型的,假如我想取它k1=v1的记录,其实还是比较简单的,网上例子好多: 直接写sql,就是where result->’$.k1’=2 ,而mybatis中也可以直接写where result->’$...
代码审计.SpringBoot(Tmall).Log4j2漏洞
qq_34012951的博客
02-22 307
1、pom文件查看版本,此版本存在漏洞。3、追溯漏洞参数,定位入口。
代码审计】Tmall商城 四处安全问题分析
最新发布
uuzeray的博客
11-07 703
最后是在/admin/user/{index}/{count}处被调用。/admin/product路由下,propertyJson可控。pom依赖里fastjson版本为1.2.58。定位到UserMapper.select。全局搜logger,找存在可控参数的。在order by后面就知道对味了。上传图片,修改filename为。改后缀为jsp,内容为一句话木马。全局搜.parseObject。修改propertyJson为。可以看到是未做任何waf的逻辑。项目用的是Mybatis。
数据库中#{}和${}的区别,order by和limit后面${}替换的解决方案
m0_57640408的博客
01-21 3834
两者区别:#{}是预编译处理,${}是字符串替换 (1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值,sql在解析的时候会加上" ",当成字符串来解析。 例如:#{123456, jdbcType=INTEGER} 预编译成:select * from tableName where id = ? ; 再变成:select * from tableName where id = '123456' ; (2)mybatis在处..
Fastjson利用笔记
热门推荐
LiBai'S BLOG
06-08 1万+
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。Fastjson RCE关键函数:DefaultJSONParser. parseObject() 解析传入的 json 字符串提取不同的 key 进行后续的处理TypeUtils. loadClass() 根据传入的类名,生成类的实例JavaBeanDeserializer. Deserialz
fastjson反序列化漏洞
qq_56426046的博客
11-20 7262
在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列化对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 反序列化时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。fastjson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
HEAVEN569的博客
06-21 2147
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值