【Java 代码审计入门-01】审计前的准备

本文最后更新于 2019.12.01,总计 3353 字 ,阅读本文大概需要 3 ~ 8 分钟
本文已超过 1768天 没有更新。如果文章内容或图片资源失效,请留言反馈,我会及时处理,谢谢!

目录

0x00 写在前面

为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审计,想做个学习历程的记录和总结,因此有了本系列的文章。

本系列的文章面向人群主要是拥有 Java 基本语法基础的朋友,系列文章的内容主要包括,审计环境介绍、SQL 漏洞原理与实际案例介绍、XSS 漏洞原理与实际案例介绍、SSRF 漏洞原理与实际案例介绍、RCE 漏洞原理与实际案例介绍、包含漏洞原理与实际案例介绍、序列化漏洞原理与实际案例介绍、S2系列经典漏洞分析、weblogic 系列经典漏洞分析、fastjson系列经典漏洞分析、jackson系列经典漏洞分析等,可能内容顺序会略有调整,但是总体内容不会改变,最后希望这系列的文章能够给你带来一点收获。

0x01 审计工具及环境

  • MyEclipse 2017 CI
  • Intellij idea
  • Tomcat 7.0
  • MySQL 8.0.15
  • Java 1.8.0
  • macOS 10.15

这些工具的安装和使用网上基本上都有教程,因此就不详说了。

MyEclipse 2017 CI 的破解教程 :

  • windows 下

http://www.3322.cc/soft/39985.html

  • mac 下

https://www.cnblogs.com/jiaoxiangjie/p/9555124.html

Intellij idea创建javaWeb以及Servlet简单实现:

https://www.cnblogs.com/javabg/p/7976977.html

myeclipse 配置 Tomcat 教程:

https://www.cnblogs.com/xusweeter/p/9393721.html

0x02 基础知识

1、包的命名规范

1.png

如上图所示,在 Java 中,会有各种各样的包,大致规则如下:

  • indi :

个体项目,指个人发起,但非自己独自完成的项目,可公开或私有项目,copyright主要属于发起者。

包名为indi.发起者名.项目名.模块名.……

  • pers:

个人项目,指个人发起,独自完成,可分享的项目,copyright主要属于个人。

包名为pers.个人名.项目名.模块名.……

  • priv:

私有项目,指个人发起,独自完成,非公开的私人使用的项目,copyright属于个人

包名为priv.个人名.项目名.模块名.……

  • onem:

与“indi”相同,推荐使用“indi”

  • team:

团队项目,指由团队发起,并由该团队开发的项目,copyright属于该团队所有

包名为team.团队名.项目名.模块名.……

  • com:

公司项目,copyright由项目发起的公司所有

包名为com.公司名.项目名.模块名.……

持久层:dao、persist、mapper

实体类:entity、model、bean、javabean、pojo

业务逻辑:service、biz

控制器:controller、servlet、action、web

过滤器:filter

异常:exception

监听器:listener

在不同的框架下一般包的命名规则不同,但大概如上,不同功能的 Java 文件放在不同的包中,根据 Java 文件的功能统一安放及命名。

2、servlet

为什么要介绍 servlet?

上文中也提到,我会针对于各种漏洞的原理和案例进行介绍,漏洞原理不仅是理论上的介绍,还有实际中存在对应漏洞 Java 代码上的分析,这些代码是我基于 Java servlet 简单写的,所以需要了解 servlet 的一些特性和基础知识。我更推荐自己写一个存在对应漏洞的 web 项目,此外,还要懂得如何修复该漏洞,这样可以更好的理解该漏洞。

什么是 servlet?

Java Servlet 是运行在 Web 服务器或应用服务器上的程序,它是作为来自 Web 浏览器或其他 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。

Servlet 执行以下主要任务:

  • 读取客户端(浏览器)发送的显式的数据。这包括网页上的 HTML 表单,或者也可以是来自 applet 或自定义的 HTTP 客户端程序的表单。
  • 读取客户端(浏览器)发送的隐式的 HTTP 请求数据。这包括 cookies、媒体类型和浏览器能理解的压缩格式等等。
  • 处理数据并生成结果。这个过程可能需要访问数据库,执行 RMI 或 CORBA 调用,调用 Web 服务,或者直接计算得出对应的响应。
  • 发送显式的数据(即文档)到客户端(浏览器)。该文档的格式可以是多种多样的,包括文本文件(HTML 或 XML)、二进制文件(GIF 图像)、Excel 等。
  • 发送隐式的 HTTP 响应到客户端(浏览器)。这包括告诉浏览器或其他客户端被返回的文档类型(例如 HTML),设置 cookies 和缓存参数,以及其他类似的任务。

Servlet 生命周期

Servlet 生命周期可被定义为从创建直到毁灭的整个过程。以下是 Servlet 遵循的过程:

  • Servlet 通过调用 init () 方法进行初始化。
  • Servlet 调用 service() 方法来处理客户端的请求。
  • Servlet 通过调用 destroy() 方法终止(结束)。

最后,Servlet 是由 JVM 的垃圾回收器进行垃圾回收的。

这里主要介绍一下service() 方法。

service() 方法是执行实际任务的主要方法,Servlet 容器(即 Web 服务器)调用 service() 方法来处理来自客户端(浏览器)的请求,并把格式化的响应写回给客户端。每次服务器接收到一个 Servlet 请求时,服务器会产生一个新的线程并调用服务。service() 方法检查 HTTP 请求类型(GET、POST、PUT、DELETE 等),并在适当的时候调用 doGet、doPost、doPut,doDelete 等方法。

public void service(ServletRequest request, 
                    ServletResponse response) 
      throws ServletException, IOException{
}

以上代码,即为一个service()方法的特征

0x03 总结

以上为基础的知识,了解这些后,基本上可以开始我们的审计之路了

0x04 参考

https://blog.csdn.net/kongjiea/article/details/45365753

https://www.runoob.com/servlet/servlet-intro.html

「感谢老板送来的软糖/蛋糕/布丁/牛奶/冰阔乐!」

panda

(๑>ڡ<)☆谢谢老板~

使用微信扫描二维码打赏

版权属于:

Panda | 热爱安全的理想少年

本文链接:

https://blog.cnpanda.net/codeaudit/588.html(转载时请注明本文出处及文章链接)

暂时无法评论哦~

已有 6 条评论
  1. Venenof7 访客

    学习。

    |
    1. panda 作者
      @Venenof7

      膜师傅

      |
  2. aoteman 访客

    所以问题来了 ,缺个mac

    |
    1. panda 作者
      @aoteman

      win 也可以 差不多的,或者你用 Ubuntu 也可以

      |
  3. 【Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍 - 黑客圈 访客

    [...]【Java 代码审计入门-01】审计前的准备 https://www.cnpanda.net/codeaudit/588.html[...]

    |
  4. 求学的弟弟 访客

    大佬,想问一下我想学java代码审计,需要学java的一些什么东西呀,希望我能看得懂那种weblogic反序列化,shiro反序列化源码等等,能不能给个联系方式,拜托了

    |