56 代码审计-JAVA项目Filter过滤器及XSS挖掘
这里写目录标题
-
-
- Filter过滤器配置启用及查看
- Demo代码测试引用过滤器测试
- Jeesns过滤器分析绕过防护代码
-
- Struts2框架类过滤器简要分析测试
-
过滤器是java里面找漏洞很重要的地方,如果对过滤器不了解的话,对漏洞的验证是很有问题的
看构成就是看过滤器是否在前期源码、项目中,是否有过滤器
看指向指的是对应过滤器的代码指向地方,指向的是内部文件还是外部的库文件,这样子是便于我们快速找到对应的代码进行分析
看过滤器在这里的配置信息,一般看两点,一个是触发请求、一个是触发规则,这两点主要是根据请求和规则思考有没有绕过的可能性
看配置和看代码都是在思考过滤的情况和去思考绕过思路的
简要来讲就是一句话,看构成,看指向,看配置,看代码-寻绕过
在javaweb项目中,一般在运行的过程中会经过过滤器,才会到下面去,过滤器在你还没有信息返回的时候,就已经到了过滤器,就相当于前期已经将你相关请求的东西开始进行过滤了,过滤完之后,才会带到后面的数据处理中,所以过滤器是在漏洞或者攻击的过程中,会进行拦截的一个地方,这个地方过滤器写的比较严谨的话,会阻止大部分的攻击,也是我们后期判断漏洞是否真实存在,验证这个漏洞有效性的时候,就是要根据过滤器的规则进行分析,所以过滤器是非常重要的
Filter过滤器配置启用及查看
web.xml查看Filter过滤器
名字,对应class,触发URL,生效规则等
我们打开java项目,框架对应的配置性文件里面会直接标识有没有过滤器
我们进行文件的搜索找到web.xml
打开web.xml文件,其中shiro是过滤器的名字,class是代码储存的地方
自身的程序代码是内部,由于代码会引用一些东西,属于外部,外部就是有些库
我们可以在外部里面找以下有没有对应的名字
初次打开jar文件是打不开的,右键选中jar,选中加载,把它编译进去
这个地方就是它过滤器代码储存的地方
mapping属于路由类东西的设置,后面又设置名字、访问路径,就是说请求admin目录的时候,就会触发shiro控制器,这里是可以指定单个文件、目录、后缀名,打个比方后面加个*.jsp,就是请求admin后面加个任意的jsp文件,触发过滤器里面对应的代码;下面就是以什么形式触发
Filter是JavaWeb中的过滤器,用于过滤URL请求。通过Filter我们可以实现URL请求资源权限验证、用户登陆检测等功能。
Filter是一个接口,实现一个Filter只需要重写 init 、doFilter、destroy 方法即可,其中过滤逻辑都在doFilter 方法中实现。
Filter和Servlet一样是Java web中最为核心的部分,使用Servlet和Filter可以实现后端接口开发和权限控制,当然使用Filter机制也可以实现MVC框架,Struts2 实现机制就是使用的Filter。
Filter的配置类似于Servlet,由 和 两组标签组成,如果Servlet版本大于3.0同样可以使用注解的方式配置Filter。
过滤器里面有比较关键的三串比较重要的代码,init初始化
doFilter过滤器核心代码
destroy销毁
一般要初始化之后,然后到核心代码这里来,最后销毁它就完事了
只要请求项目的任意地址都会触发规则
Demo代码测试引用过滤器测试
我们这边来个简单的小实例,我们打开项目,打开web.xml
这边有个过滤器,一般外部库都会有框架的名字,这个名字显然不在外部库
这是它过滤器对应的代码地方
访问这个目录下面的任意文件,都能触发到过滤器的名字,触发里面的请求
我们现在把项目启动起来,项目在启动的过程中,就会触发过滤器的初始化
现在我们随便访问一个地址,访问它的时候并没有提示我们什么
过滤器初始化代码已经被执行了,核心代码没有执行,因为没有访问servlet目录
我们访问一下servlet目录下的文件
我们找到xss.jsp没有这个选项
我们看调式信息,就是触发代码了
Jeesns过滤器分析绕过防护代码
Jeesns是java的一套程序开发的,打开Jeesns项目
首先找配置文件,一般是找关键性目录
我们看到这里有XssSqlFilter过滤器,很明显就是过滤xss和sql注入的,看过滤器文件名就知道是内部的
其实这个过滤就是创建对象,对象叫XssWrapper,它的核心代码在XssWrapper对象里面
我们选中对象名字,点击查找使用,跟踪代码
因为它的核心代码在jar包里面,这个jar包是我们反编译才能看到的
点击添加为库
打开里面也是搜不到XssWrapper对象的
我们这边一个个打开看一下
Jeesns1.3之前发现漏洞,1.4.2紧急修复漏洞,然后你具体看一下两个规则的具体写法,请求的方法名不一样
因为这边不是jar包,我们直接点击查找引用
这边构造函数就是它原始申明的地方,双击构造函数
自动定位到XssHttpServletRequestWrapper函数的地方
它使用的是替换方法,所以它是不严谨的,因为它过滤的是关键字
这两个事件就可以触发xss的代码,因为它在这里申明关键字,里面没有包含下面这两个,所以就会触发
<svg/onLoad=confirm(1)>
<img src="x" ONERROR=confirm(0)>
我们看1.4.2这里就加了正则表达式,然后还加了些其它东西
请求任意文件或任意目录,它这里过滤器过滤的是url请求,然后请求里面含有参数,所以它其实检测的就是url请求参数的东西,你可以看到它过滤器框架里面ServletRequest request的写法,所以这里面就是请求和回复,只要请求就会收到回复
我们找个输出地方,即可测试xss,因为跨站漏洞本身漏洞的原因,就是输出地方存在的问题,所以只要找输出的函数,就能找到漏洞存在的地方
java输出函数网上找一下就完事了,你思路懂,你网上搜资料你也会明白
全局搜索输出函数
也可以单独针对某个模块去找
我们找有打印的地方,打印的地方存在变量,把变量给传回去就完事了
漏洞的poc:https://www.seebug.org/vuldb/ssvid-97940
单独的过滤代码写到单独的过滤器里面,这样子是很便于你后期的开发维护,只要你的过滤器访问规则被绕过了,那么你就可以直接修改对应地方,不用在每个要接受验证的代码中进行修改,这肯定不现实,所以这样设计是便于后期维护的,是一种先进的写法
apk可以反编译,反编译成jar包,其实也可以进行代码审计,但是一般apk是app文件,就是我们的移动客户端,移动客户端就是app里面涉及到网站源码,如果没有,就是单纯逻辑上面的代码,不会设计到web层面的代码以及安全,如果app里面就是一些web框架在里面,app打开就是我们访问网站的模版,可能里面就是类似javaweb
Struts2框架类过滤器简要分析测试
有使用框架和没使用框架最大的区别就是构成这里,不同的框架他们的网站配置文件命名是不一样的,可以去网上搜都有的
框架的指向全在外部,文件核心代码全在外部,不可能在内部,因为你用到框架,框架自身是有它自带的过滤器的,框架就好比我们的thinkphp,有它自身的过滤规则
它们的配置请求规则也会不一样,一旦出现框架类的话,就会跟常规有区别,但是整体思路不会有问题的
载入struts2项目
我们分析框架有没有漏洞,看过滤器,框架是有自身的东西的,可以引用框架开发网站,框架自身的过滤器是不是要找配置文件,配置文件找不到的话,可以直接进行搜索
struts2过滤器的命名跟我们前面讲的拦截器的命名是有区别的
这个配置文件里面没有intercepter
那就看一下这里有没有加载一些包含文件,所以我们就去找这个文件
这里已经找到了
找到过滤器代码,过滤器的名字,过滤器储存的class文件、路径
找到过滤器规则的文件
框架一旦加载上去,漏洞一旦发现产生危害大,就是因为框架使用的人多,框架爆出漏洞一般是高危漏洞,因为框架一旦有使用,谁都不能判断框架漏洞是怎么引起的
框架漏洞就是分析它的过滤器挖出来的,把这些文件打开,分析它的过滤规则有没有绕过的
框架类的过滤器首先他的申明不一样,名字也不一样,然后他的过滤器有很多
通过过滤器的名字就能知道大概意思,比如cookie是对cookie相关的东西进行操作,我们看的话,着重看关键字,params这个是java里面代码的接收,请求方式
有些过滤器它仅仅只是为了网站的正常访问,防止出问题这些,就像我们刚刚说的编码,像那些就不用看了,主要是看关键字的一些过滤器,找到它里面的东西
这个代码给到我,也是要查资料慢慢看,因为我也没学过java,有些代码,我们只能简单去理解他,分析他,大概是什么意思,你要一下子看完,除非你搞过开发,我也看不懂只能去猜,从字面上去猜函数的意思,分析这个过滤器是干嘛的,怎么在过滤
简单的学一下java,了解一下架构是有必要的