Java 审计之xss审计要点
0x00 前言
上篇文章讲了xss的一个简单审计,这篇文章可以来复盘一下上篇文章内容在上篇文章基础上做一个详细说明,以及其他的一些审计姿势。
首发:Java审计之XSS篇
0x01 审计流程
根据上篇文章来总结一下,我们首先是全局搜索了request.setAttribute 这个共享到request域的方法,查看他的传值类型,再跟踪到他的实体类里面,查看实体类中哪些地方是String类型的变量。只有String类型的。查询完这样以后,就需要查看哪些方法调用了哪些方法将我们的xss Payload添加进去,后面就可以追溯到dao层查看一下有没有添加进数据库里面。在查询和插入内容的方法里面需要留意一下有没有过滤。
0x02 ModelAndVIew详解
当视图解释器解析是ModelAndVIew,其中model本生就是一个Map的实现类的子类。视图解析器将model中的每个元素都通过request.setAttribute(name, value);添加request请求域中。这样就可以在JSP页面中通过EL表达式来获取对应的值。其实就是进行了一个简单的封装,方便于我们使用。
方法1:
定义格式:
public ModelAndView addObject(String attributeName, Object attributeValue)
实例:
1 ModelAndView mav=new ModelAndView("hello");
2 mav.addObject("time", new Date());
将一个对象共享到域中
方法2:
mav.getModel().put("name", "xiaoming");
0x03 CMS 审计
使用ModelAndView需要new一个对象,那么我们可以直接来全局搜索new ModelAndView来查找该关键字。
点击一个存在该关键字的类,进行跳转到该类。
这里实例化了一个对象叫model,跟踪看一下model都调用了哪些方法,如果调用addObject共享到域中,看他有没有调用过滤方法,没有的话,我们就可以来跟踪一下需要共享的值。哪些地方可以插入 xss的Paylaod。
定位一下typeList变量是怎么来的
这里就可以看到调用了webSiteImagesTypeService的webSiteImagesTypeService.queryAllTypeList()方法进行返回的,存储到了一个list集合,WebSiteImagesType类型的。
再来定位到WebSiteImagesType实体类里面,看看都有哪些属性,查看有没有String类型的变量。
typeName的地方是String类型的,可以去插入xss的Payload。
返回Controller查看调用的方法typeList值得获取调用得方法。
ctrl+左键点击WebSiteImagesTypeSerivce跳转到该接口。
选中接口,CTRL+H 查看该接口实现类。
点击实现类,进行跟踪
这里就查看到了 service层得queryAllTypeList会调用webSiteImagesTypeDao的queryAllTypeList()查询进行返回且没有过滤,继续跟踪dao到。
看到并没有使用注解来配置,那么就肯定是使用了xml的文件来进行配置了。
全局搜索一下dao的名称,并且指定类型为xml的文件,在开发中一般xml的映射文件会和dao接口的名字前面一样,然后加个mapper。
点击跳转进去
到这里后,就已经看到内容会从数据库的 EDU_WEBSITE_IMAGES_TYPE表里面去取值,并且返回。
下一步需要做的就是查看数据会从哪里去写入。
返回到Controller,看到下面还有个更新的方法,是可以对数据进行插入的。
调用了WebSiteImagesTypeService方法跳转到实现类里面查看,有没有调用到过滤的方法。
这里并没有调用到过滤的方法,而是直接调用webSiteImagesTypeDao.updateType直接传入值了,其实从Controller的更新方法追溯上去一点多此一举了,因为我们在跟踪查询方法的service接口的时候,其实就已经看到增删改查的方法了,这里只是为了逻辑更清晰一些。
跟踪到updatetype方法后, 查询映射文件,其实文件还是刚刚在定位查询方法时候的那个文件里面
这里得知该语句会从WebSiteImagesType取typeName和typeId的值,进行更新语句的填入。如果我们在对应的位置插入xss后,payload 会存储在WebSiteImagesType的typeName然后再被带入到dao层去写入到数据库里面去。写入完成,访问页面服务器执行了查询方法的话就会返回xss的值,这时候输入输出都没有做过滤直接输出了,就导致了xss的产生。
下面来把环境启动,然后进行测试一下。
查看漏洞地址
http://127.0.0.1:82/admin/imagetype/getlist
点击修改名称进行修改。
xss执行了,但是闭合的时候没成功闭合,插崩了。后面的几个按钮都给覆盖了。
去数据库将数据删除一下。
重新打开一下。
构造xss Payload,具体怎么构造这里就不做赘述了。
</td><script>alert("1")</script>
0x04 结尾
在审计代码的时候会发现一些比较有意思的事情,比如刚刚查看的service接口中的增删改查方法,如果接口中一任意个方法没做过滤,其他的方法也不会去做一个过滤。刚刚审计的只是一个update的方法插入xss,但是如果是增加的方法呢?,当然也是可以的。但是这里的代码添加的方法不是直接去做一个设置,而是添加条新的并且是空的数据,后面需要修改成想要的数据。这样的话漏洞的位置还是在修改方法上面,而不是添加的方法。