1.介绍
对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。
2.安装
项目地址https://github.com/JoyChou93/java-sec-code/
java-sec-code是由java开发,使用的框架为springboot,下载到本地后直接使用IDEA导入项目。
选择maven工程选项。
导入项目后需要在本地数据库能建立名为java_sec_code的数据库(项目使用的数据库为mysql,本人使用的版本为5.5.6),数据库建立成功后使用项目文件夹resources下create_db.sql脚本文件建立表和导入数据。
修改resources下的application.properties配置文件,将连接数据库需要的参数配置为本地实际参数。
在IDEA中直接启动项目,访问http://localhost:8080/login成功看到登录界面,默认用户名和密码为admin/admin123 。
因为项目作者选择的工作环境为linux操作系统,而我本人选择的工作环境为windows操作系统,所以为了部分功能运行成功需要修改几处源码,首先修改CommandInject.java文件下的源码,将sh执行命令替换为cmd命令,还有修改源码中一些其它的linux操作系统上独有的命令。
其次为修改index.html下的几处默认链接,链接指向改为在D盘下的测试文件。
3.命令注入漏洞
查看CommandInject.java源码,存在3个方法codeInject、codeInjectHost、codeInjectSec,其中codeInjectSec为安全方法,其它两个存在漏洞。
首先分析codeInject方法源码,很容易发现参数filepath并未做任何的过滤,直接就拼接入命令执行数组中,建立ProcessBuilder对象执行新的进程,并将执行结果返回前端,在windows操作系统下使用&符号拼接cmd命令,由于是web服务应用,需要将&符号进行url编码,可以使用payload:http://localhost:8080/codeinject?filepath=.%26ipconfig,可以看到ipconfig命令成功执行。
查看codeInjectHost方法源码,注入参数为http请求头中的host参数,将host参数修改为payload:localhost&ipconfig,成功执行命令,一定要将端口号消去要不curl命令执行中会报错。
codeInjectSec方法中明显加入了参数过滤方法,点击打开cmdFilter方法进一步跟踪,找到在安全方法中声明的静态常量FILTER_PATTERN,常量为正在表达式对象,匹配模式只匹配大小写字母数字等几种字符,特殊字符都不会匹配成功,当出现命令注入时匹配到特殊字符后返回值为空,方法执行返回失败提示。
4.RCE命令执行
分析源码可以很直观的看到cmd未进过任何过滤直接有runtime.exec执行,执行结果推送回前端显示,这个演示应该是项目作者为大家演示下命令执行的过程。