Java 源码审计心得

2019-09-10

字数统计: 1.6k | 阅读时长≈ 5 分钟

0x01 前言

java现在可以说已经是web端主流的语言，大部分银行、金融、商城平台几乎都是使用java语言，php虽然使用的人也比较多但是多为个人开发使用，nodejs性能较好但是用的人少，越来越多的企业都开始使用java web，在这里做一个心得总结。

0x02 准备

java类的网站通常是比较容易获取到网站源码的，为什么这么说呢，因为java的网站有很大一部分是定制的、公司自己搭建的。相应的就会产生一些相对低级的漏洞，比如说网站的配置问题、中间件的配置问题、中间件的cve问题、任意文件读取/下载、ssrf等这些问题，出现的概率都比较高，这些都为我们获取到网站源码提供了可能，下面我就举一个我实战的例子给大家展示一下。

0x03 开始

某天，某银行的微信银行要求做渗透测试，说到这里我要吐槽一下，微信公众号测试这种东西是最难受的，里面没啥功能还好说，像这个银行放上上十个不同的网站系统，一个微信公众号 = 十个网站系统，一个星期要求测完，给我整的明明白白的。当然，整明白以后我们就发现它这个读图片的接口任意文件读取

有些同学可能把这就当做结尾写入报告然后收场完工，其实这只是刚刚开始。某些敏感信息我们可以先获取一下，如果有权限的话其中.bash_history是一个比较重要的东西，我们可以获取到较多路径信息和配置文件位置的信息。例如这次我们可以读取到/home/weblogic/.bash_history

这就很明了了，网站采用weblogic搭建，weblogic路径我们也获取到了，通过读取config.xml，1、我们可以获取weblogic console的账号密码 2、我们可以获取到所有war包路径

我们通过一个任意文件读取下载到了网站源码，下面开始正文，java代码审计

0x04 正文

我们下载到源码的话第一件事干什么，找敏感文件和控制器。敏感文件的内容可以让我们更好的配合其他漏洞进行利用，比如ssrf+redis密码的话就可以RCE，再比如oracle可以直接连等等，找完这些我们就要找控制器了，一般在WEB-INF的classes文件夹里可以找到。这也是源码审计的主要阶段，看代码。

和php的源码审计不同，java会把某些方法直接写出来，php可能比较侧重于找_POST或者_GET，一轮一轮下来可能都找不到参数传到哪里了，这次我们获取到的源码相当归整，一个个的控制器和方法都给我们列好了。我们需要侧重关注的点就是，找 1、文件上传 2、数据查询 3、文件下载 4、序列化，这些版块对应的漏洞我想大家都应该心知肚明