[代码审计]某租车系统JAVA代码审计[前台sql注入]
0x00 前言
艰难徘徊这么久,终于迈出第一步,畏畏缩缩是阻碍大多数人前进的绊脚石,共勉。
系统是租车系统,这个系统是Adog师傅之前发在freebuf(http://www.freebuf.com/articles/web/162910.html)的,他审的时候没有发现sql注入,但在评论中有个师傅说有前台sql注入。
那么我就来找找前台的sql注入吧,虽说是java但其实代码审计的点都是通用的,万变不离其宗。
扯远了,这篇文章,算是踏入java代码审计领域的开篇。
0x01 基础环境搭建
源码下载:http://down.admin5.com/jsp/135501.html
环境还是某study一把梭,下载链接(http://phpstudy.php.cn/phpstudy/JspStudy.zip)
IDE的话用的是IDEA
安装步骤按照使用说明来就是了

安装步骤1中,注意要把tomcat的server.xml中的这一行注释掉

步骤2:在数据库的目录中打开cmd窗口,导入mysql的命令: (jspstudy的mysql默认账号密码是root/root)
mysql -u root -p opencar <opencar.sql
顺便一提这个租车系统的默认配置账号密码也是root/root,见db.properties

接着重启jspstudy即可。
访问url:http://localhost:8080/opencarrun/,无报错则表示成功安装。
0x02 前台sql注入
加载源码到IDEA,打开大概是这样子的。

xss和短信轰炸就不说了,直接找sql注入。
根据Adog师傅的文章,我找到了几个处理sql语句的类,比如

加红的原因是因为IDEA找不到类的位置,加载的opencar文件夹也确实没有源码。
那么如何找到这里的源码呢?其实在opencarrun\WEB-INF\lib\中存放了相关的依赖jar包,其中有一个名为car-weishang-1.0.jar的jar包
因为是jar包,我们需要反编译回java文件。
下载jd-gui(http://jd.benow.ca/),可以单独下载,也可以下载idea的插件,我这里是单独下载。
反编译一下这个包,可以拿到相关的源码:

重点关注service下的,因为是前台,所以权限有限,可以重点关注get前缀的方法(表示查询)
找sql注入的话其实也没有比较好的方法,就是一个个看,再辅以一定的搜索技巧(看源码规律配上正则来搜)。
这套系统从Adog师傅的文章知道是用了预编译的,那么我们要考虑的就是预编译防御不了的地方,比如like,in,order by这三个位置的。
参考京东安全的这篇文章(https://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srcid=0926a6QC3pGbQ3Pznszb4n2q),虽然说的是mybatis框架的,但是预编译的道理还是一样。

再结合,java是强类型语言,要注入的话就必须是String类型,那么我们只需要分析可传String参数的方法即可。

经过刷选,最终符合条件的方法没几个,再一一去看代码是否会有注入,有注入了再去回调调用的地方,最终找到外部传进来的参数和访问url。
很幸运找到了几个。
看到ShopService类的getGoodsPojoListByTypeAndcatAndBranAndPrice方法

回溯看看方法在哪里调用到(Ctrl+Shift+F)

在GoodList.java文件中,跟进去。

这个方法的几个参数都是有注入的。
同理还有ShopService类的getGoodsPojoListByTypeAndcatAndBranAndPriceCount方法、getGoodsListByExtendCat方法也是一样,但是位置都是在getGoodsPojoListByTypeAndcatAndBranAndPrice方法之后,所以利用的话还是getGoodsPojoListByTypeAndcatAndBranAndPrice方法比较好利用,至于其他service类也是有可能有注入,就不再一一分析。
分析GoodList.java的访问url是什么,看到匹配的是/goods url下面。

直接访问会跳404页面

通过对前端页面研究发现是通过首页的搜索页面进去的。

其中的cat_id就是我们的注入参数(当然还有其他的,不一一举例),因为系统是对异常进行了捕获的,所以不能直接进行报错注入。
那么就只能进行盲注了,用union回显也是不行的,因为这里的三条语句都是受影响,那么就只能用延时盲注了。
但因为受影响的字段较多,且会执行三遍,并且这里用不了and,只能用or。
那么用or 1=1 和 or 1=2查询的时间就已经足够了。
or 1=2的时候大约执行7-8秒,or 1=1的时候大约执行24-26秒左右。
那么我们可以使false的时候为or 1=2,true为or 1=1 ,payload如下:
http://localhost:8080/opencarrun/goods?cat_id=1)%20or+1=if(ascii(substr(user(),1))=114,1,2)%23&menuId=7+
底层不知道为什么还有一个报错,但不影响注入

虽然是前台注入,但是这个注入点颇为鸡肋,实战意义不大,仅供参考。
到此,该CMS告一段落。
0x03 总结
刚开始还有很多生疏的地方,慢慢来吧。
[代码审计]某租车系统JAVA代码审计[前台sql注入]的更多相关文章
- 基于JSP+Servlet开发在线租车系统 java 源码
运行环境: 最好是java jdk 1.8,我们在这个平台上运行的.其他版本理论上也可以.IDE环境: Eclipse,Myeclipse,IDEA都可以tomcat环境: Tomcat 7.x,8. ...
- 我的Java之旅——答答租车系统的改进
之前的答答租车系统虽然可以实现项目的要求,但是没有用Java面向对象,今天用面向对象的三大特性封装.继承和多态来改进原来的代码.题目和之前的代码参考上篇博客,这里不再述说. 改进后的代码: Vehic ...
- 我的Java之旅——答答租车系统
今天试着写了一个新的程序,叫做"答答租车系统",是慕课网上的一个综合练习,戳我看原题. 项目要求截图如下: 我的代码(简单粗暴版): Vehicle.java public cla ...
- Java学习笔记三十:Java小项目之租车系统
Java小项目之租车系统 一:项目背景介绍: 根据所学知识,编写一个控制台版的“呱呱租车系统” 功能: 1.展示所有可租车辆: 2.选择车型.租车量: 3.展示租车清单,包含:总金额.总载货量以及其车 ...
- Java练习 SDUT-3349_答答租车系统(面向对象综合练习)
答答租车系统(面向对象综合练习) Time Limit: 1000 ms Memory Limit: 65536 KiB Problem Description 各位面向对象的小伙伴们,在学习了面向对 ...
- Java审计之SQL注入篇
Java审计之SQL注入篇 0x00 前言 本篇文章作为Java Web 审计的一个入门文,也是我的第一篇审计文,后面打算更新一个小系列,来记录一下我的审计学习的成长. 0x01 JDBC 注入分析 ...
- java学习之租车系统
背景:有三种类型的车供给用户来租用 要求:控制台用户交互界面,根据用户需求输出租车价格,结果如下: 创建租车类主要设计过程: 创建租车类 创建Car父类,包含四种属性成员,重写构造方法 创建三种 ...
- Java Filter防止sql注入攻击
原理,过滤所有请求中含有非法的字符,例如:, & < select delete 等关键字,黑客可以利用这些字符进行注入攻击,原理是后台实现使用拼接字符串,案例:某个网站的登入验证的SQ ...
- PHPSHE 1.7前台SQL注入漏洞分析
此CMS SQL注入漏洞产生原因为未将经过 addslashes() 函数过滤的数据使用单引号包裹,从而导致的SQL注入漏洞.接下来看漏洞详情: 首先查看phpshe下的common.php文件37 ...
随机推荐
- OA协同办公软件
OA协同办公软件: 泛微软件. 九思软件. 华天动力. 万户OA.:北京万户网络技术有限公司创立于1998年2月,是北京华宇软件股份有限公司(股票简称:“华宇软件”,股票代码:300271)的全资子公 ...
- plsql developer导入导出序列方法
导出: 1.打开PLSQL Developer,工具 2.类型排序,选中所有sequence,指定用户,单个文件,选择导出文件路径,等待执行完毕即可. 导入: 打开导出的文件,复制,在新打开的命令窗口 ...
- (网络编程)socketserver模块服务端实现并发
基于tcp的套接字(实现并发),关键就是两个循环,一个链接循环,一个通信循环 基于udp的套接字(不是正真意义上的并发,实现真并发) socketserver模块中分两大类:server类(解决链接问 ...
- CentOS 6.5环境下使用HAProxy+apache实现web服务的动静分离
HAProxy提供高可用性.负载均衡以及基于TCP和HTTP应用的代理,支持虚拟主机,它是免费.快速并且可靠的一种解决方案.HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持 ...
- VMware环境和Window环境进行网络连接的问题
一. 首先贴出本人在网络上找到与VMware网络连接相关的知识点 安装完虚拟机后,默认安装了两个虚拟网卡,VMnet1和VMnet8,其他的未安装(当然也可以手动安装其他的).其中VMnet1是hos ...
- 解决报错SAXNotRecognizedException: Feature 'http://javax.xml.XMLConstants/feature/secure-processing' not recognized
今天调试appium脚本,发现运行脚本就报错 SAXNotRecognizedException: Feature 'http://javax.xml.XMLConstants/feature/sec ...
- Unicode范围预览
链接: https://www.zhangxinxu.com/study/201611/show-character-by-charcode.php?range=4E00-9FBB 备注: Unico ...
- vue系列之MVVM框架
当数据发生变化时,ViewModel就会检测到,然后通知相应的View改变 当用户操作View时,ViewModel就会检测到,然后Model,修改相应的数据,最终实现双向绑定 适用场景:针对具有复杂 ...
- Java基础98 gson插件的使用
1.要用到的包 2.实例 实体类 people package com.shore.entity; /** * @author DSHORE/2019-4-21 * */ public class P ...
- wpf 用户自定义事件传参2
public delegate void MenuButtonClickEventHandler(object sender, EventArgs e); public event MenuButto ...