heapdump 攻击面利用

这篇具有很好参考价值的文章主要介绍了heapdump 攻击面利用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

heapdump 攻击面利用

点击上方蓝字关注我们

一、heapdump案例

1.1 项目中的分析

这个是项目中遇到的一个例子,发现了heapdump泄露,但没有找到可用session,当时就想着内存中应该是有账号密码的,于是就开始找了起来。

用OQL进行搜索,先找数据库密码,很好找,但由于是内网数据库没啥用。

然后无脑直接找session id,但没有找到

heapdump 攻击面利用

观察数据包,发现使用了JWT认证,但搜索JWT开头字符串依旧没有结果

heapdump 攻击面利用

heapdump 攻击面利用

再仔细看了一下请求包,Cookie中的参数名为xxx_USER_Cookies,搜索该参数名但依旧搜索不到

select * from java.lang.String s where toString(s) like ".*_USER_Cookies.*"

heapdump 攻击面利用

后面我又想到直接搜索类名即可得到对应字符串,所以我就直接去找java.lang.String类下面的内容

heapdump 攻击面利用

但并没有找到什么东西,点击Shallow Heap和Retained Heap进行排序也没找到什么有用信息

heapdump 攻击面利用

然后看着一系列的类名想起,java中并不是只有String,byte[]和char[]也可以转换为String,所以又去找byte[]和char[]的内容

heapdump 攻击面利用

然后点击 Shallow Heap 按钮倒序排列,我发现了新天地

heapdump 攻击面利用

PK开头的明显是压缩包,而其他的又很明显是HTTP请求包,于是我开始挨个右击->Copy->Save Value To File(注意,这里尽量不要直接复制值,因为1. 会有无法显示的字符导致看起来不够美观;2. 直接复制值仅能复制1024个字符,剩下的会被截断)

heapdump 攻击面利用

保存完之后,再打开文件,某一个请求包中就有别人登录时使用的明文账号密码!!!(至于格式为什么是这样的就不清楚了)

heapdump 攻击面利用

1.2 项目后的思考

1.2.1 为什么String不能倒序搜索,byte[]却可以?

做项目时,虽然找到了账号密码,但还有一些问题没有解决,想再测试一下。

简单了解了一下OQL和MAT,我们前面使用的直接搜索类的对象部分,其实是在各个对象的引用列表中穿梭查看。对于给定一个对象,通过MAT可以找到引用当前对象的对象,即入引用(Incomming References),以及当前对象引用的对象,即出引用(Outgoing References)。

heapdump 攻击面利用

还记得类对象的排序吗?

  • byte[]可以按照Shallow Heap进行排序

  • java.lang.String不能按照Shallow Heap进行排序

heapdump 攻击面利用

heapdump 攻击面利用

这是为什么呢?浅堆(Shallow Heap)和深堆(Retained Heap)是两个非常重要的概念,它们分别表示一个对象结构所占用的内存大小和一个对象被GC回收后,可以真实释放的内存大小。

浅堆是指一个对象所消耗的内存。在32位系统中,一个对象引用会占据4个字节,一个int类型会占据4个字节,long型变量会占据8个字节,每个对象头需要占用8个字节。

下面是String对象的几个属性:

String
- value:char[]
- offset:int
- count:int
- hash:int

3个int值共占12字节,对象引用占用4字节,对象头8字节,合计24字节。浅堆的大小只与对象的结构有关,与对象的实际内容无关。也就是说,无论字符串的长度有多少,内容是什么,浅堆的大小始终是24字节。因此java.lang.String类无法使用浅堆倒序排列。

还有,当时只在byte[]中找到了HTTP请求包,String里面是不是也有未找到的HTTP请求包(可能是找的方法不对,HTTP请求包大小位于中间部分,排序无法找到)。

后面我又进行了尝试,发现在Outgoing References搜索结果的Class Name列,除了能搜索类名,也可以搜索字符串的正则表达式,因此直接搜索.*(GET|POST) /.*就能找到HTTP请求了

heapdump 攻击面利用

heapdump 攻击面利用

但是直接在这里搜索password关键字,还是无法直接找到可用的明文账号密码

1.2.2 可以使用OQL直接查询吗?

后面我又思考了一下,想尽量实现OQL直接搜索

# 直接搜索所有包含SESSION ID的请求
select * from byte[] s where toString(s) like ".*_USER_Cookies.*"

# 直接搜索GET和POST请求
select * from java.lang.String s where toString(s) like ".*(GET|POST) /.*"

heapdump 攻击面利用

但是当我想搜索密码的时候,就很一言难尽了,只找到了我测试时的登录请求

select * from byte[] s where toString(s) like ".*password.*"

heapdump 攻击面利用

最后发现是比较符like的问题,经过测试发现OQL的比较关键字仅能搜索前1024个字符,剩下的无法搜索到。而password正好在1024个之后,所以无法搜索到(实际测试过contains也不行)。OQL表达式仅找到了=likecontains比较关键字,找了一下也没找到字符串截断函数,所以无法使用这种方法搜索(当然,如果运气比较好password关键字在前1024个字符内,就能搜索到)

但我们其实可以换一种思路,根据登录请求包的URL特征进行搜索,搜索POST类型,包含login的字符串

select * from byte[] s where toString(s) like ".*login.*" and toString(s) like ".*POST.*"

虽然仅找到一条结果(还是有很多明文的登录账号密码没有找到),但是确实可以快速得到一个可用口令

heapdump 攻击面利用

二、利用mat+OQL表达式进行分析

2.1 提取数据库账号密码

SpringBoot 1.x 2.x 都可以用(列举环境变量)

select * from org.springframework.web.context.support.StandardServletEnvironment

heapdump 攻击面利用

heapdump 攻击面利用

spring boot 1.x 版本 heapdump 查询结果,最终结果存储在java.util.Hashtable$Entry 实例的键值对中,所以也可以这样查询

select * from java.util.Hashtable$Entry x WHERE (toString(x.key).contains("password"))

heapdump 攻击面利用

spring boot 2.x 版本 heapdump 查询结果,最终结果存储在 java.util.LinkedHashMap$Entry 实例的键值对中,所以也可以这么查找

select * from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains("password"))

heapdump 攻击面利用

2.2 提取认证信息

2.2.1 jwt认证提取

如果使用JWT进行认证,可以使用如下命令进行搜索。原理:jwt认证字符串永远都是以eyJ进行开头,所以搜索以eyJ开头或包含的字符串即可

# 在java.lang.String类中搜索以eyJ开头的字符串
select * from java.lang.String s where s.toString().startsWith("eyJ")

# 除了String之外,也可以在byte[]、char[]中搜索包含eyJ的字符串
select * from byte[] s where s.toString().contains("eyJ")

heapdump 攻击面利用

除此之外,也可以搜索JWT的密钥关键字进行搜索,找到密钥就等同于任意用户登录

# 区分大小写,jwt、JWT、Jwt都有可能;还有secret、key等关键字
select * from java.lang.String s where s.toString().contains("jwt")

heapdump 攻击面利用

# 如果jwt设置在环境变量中,也可以使用寻找数据库密码的方式进行搜索
select * from org.springframework.web.context.support.StandardServletEnvironment
# spring boot 1.x
select * from java.util.Hashtable$Entry x WHERE (toString(x.key).contains("jwt"))
# spring boot 2.x
select * from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains("jwt"))

heapdump 攻击面利用

如果并未使用JWT相关库的话,可以先搜索到jwt相关关键字对应的类

select * from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains("Jwt"))

heapdump 攻击面利用

然后根据类名去搜索,找到对应的key

heapdump 攻击面利用

2.2.2 一般session id提取

注意,搜索中的SESSION区分大小写

# 可在java.lang.String、byte[]、char[]中进行搜索
select * from java.lang.String s where toString(s) like ".*SESSION.*"

heapdump 攻击面利用

当然如果Cookie中是自定义的session名,也需要去对应的进行搜索

2.2.3 提取明文账号密码
# 关键字匹配受限于1024字节,有可能找不到
select * from byte[] s where toString(s) like ".*password.*"
select * from char[] s where toString(s) like ".*password.*"
select * from java.lang.String s where toString(s) like ".*password.*"

# 关键词可以模糊搜索,注意是区分大小写的,大致有如下内容
password
user
name
code
vertify
vertification
phone
login
register

2.3 提取shiro key

点击Histogram按钮

heapdump 攻击面利用

在ClassName处搜索CookieRememberMeManager,在搜索结果处右击->List objects->with outgoing references。

heapdump 攻击面利用

然后点击decryptionCipherKey一行,左侧就会显示shiro key的值

heapdump 攻击面利用

然后使用python小脚本转换一下即可

import base64,struct
base64.b64encode(struct.pack('<bbbbbbbbbbbbbbbb', -62,2,45,x,x,x,x,x,x,x,x,x,x,x,x,x))

除此之外,也可以用OQL进行查询

select * from org.apache.shiro.web.mgt.CookieRememberMeManager

heapdump 攻击面利用

2.4 OQL其他搜索(用处不大)

提取内存中的文件路径

SELECT file.path.value.toString() FROM java.io.File file

heapdump 攻击面利用

查看某个对象的具体内容

SELECT o FROM INSTANCEOF 0xa033b028 o

heapdump 攻击面利用

按字符串长度进行搜索

SELECT * FROM byte[] s WHERE (s.toString().length() > 100)
SELECT * FROM java.lang.String s WHERE (s.toString().length() > 100)
select * from char[] s where s.@length > 100

heapdump 攻击面利用

使用as retained set关键字可以得到所得对象的保留集

select as retained set * from java.lang.String s where s.value != null

heapdump 攻击面利用

distinct来去除重复对象

SELECT DISTINCT s.value.toString() FROM java.lang.String s WHERE (s.toString() = "password")

原本可以查到15条password字符串

heapdump 攻击面利用

去重之后只有一条

heapdump 攻击面利用

三、利用工具进行分析

这里就简单的放几个heapdump分析工具,具体的使用就不说了,用起来挺简单的

https://github.com/wyzxxz/heapdump_tool

https://github.com/whwlsfb/JDumpSpider

https://github.com/wdahlenburg/pyhprof

四、参考链接

https://www.cnblogs.com/snowie/p/15561081.html

https://www.secpulse.com/archives/184037.html

https://www.cnblogs.com/icez/p/Actuator_heapdump_exploit.html

https://forum.butian.net/share/1032

https://blog.csdn.net/weixin_40418457/article/details/116323736

https://www.exploit-db.com/docs/50459

http://cr.openjdk.java.net/~sundar/8022483/webrev.01/raw_files/new/src/share/classes/com/sun/tools/hat/resources/oqlhelp.html#sizeof

https://docs.mendix.com/refguide/

https://blog.csdn.net/chengqiuming/article/details/120002225

https://www.cnblogs.com/kira2will/p/11312822.html

end

灼剑(Tsojan)

安全团队

heapdump 攻击面利用

heapdump 攻击面利用文章来源地址https://www.toymoban.com/news/detail-433765.html

到了这里,关于heapdump 攻击面利用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 数据隐私和安全:如何确保我们的AI系统不会被黑客攻击?

    作者:禅与计算机程序设计艺术 数据隐私和安全一直是最关注和敏感的话题。随着科技的发展,越来越多的人开始把注意力放在个人隐私和个人数据上。因此,如何保障用户的数据隐私和安全成为重要课题。而AI系统正在成为影响社会的重大事件之一,如何确保它们不被黑客

    2024年02月07日
    浏览(49)
  • 我们把“高血压”小游戏真正做到了不用下载,点击即玩!!!

    相信大家经常在短视频网站上刷到各种“高血压“小游戏吧,当你按捺不住点击,却发现手机上多了一大堆“流氓软件”的时候,血压就更高了。 但是! 今天! 我们把“虚假广告”做成了真实的游戏,并且可以轻松部署到阿里云 Serverless 应用引擎 (简称:SAE) 上,实现点

    2024年02月10日
    浏览(72)
  • 在“裸奔”时代保护我们的隐私:网络攻击、数据泄露与隐私侵犯的应对策略与工具

    摘要:随着信息技术的普及和发展,个人隐私和数据安全问题日益受到威胁。本文将讨论如何有效应对网络攻击、数据泄露和隐私侵犯,并提供一系列实用的技巧和工具,以帮助我们在“裸奔”时代更好地保护数据安全和隐私。 当今社会,我们的生活已经离不开互联网。但在

    2024年02月06日
    浏览(46)
  • 【周末闲谈】如何利用AIGC为我们创造有利价值?

    个人主页:【😊个人主页】 系列专栏:【❤️周末闲谈】 ✨第一周 二进制VS三进制 ✨第二周 文心一言,模仿还是超越? ✨第二周 畅想AR 在此之前,我写过一篇关于AIGC的介绍文,我们了解到AIGC的诞生给我们的生活带来了多么巨大的改变。那么我们应该怎样利用它为我们创

    2024年02月09日
    浏览(43)
  • 利用Chat GPT建立一个To-Do应用程序--我们终于遇到了我们的替代者吗?

    海外Udemy、Coursera、Skillshare、Cantrill等平台精品编码课程,请访问 https://www.postcode.vip 我们看到GitHub Copilot在2021年10月发布,整个开发社区都疯了。 有些人声称我们很快就会失去工作,而其他人,像我一样,认为虽然这个工具很有趣,但它离替代品还很远。它可以提供更好的自

    2023年04月23日
    浏览(45)
  • 利用蜜罐捕捉攻击实验(31)

    预备知识 1、蜜罐的含义和作用       蜜罐(Honeypot)是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个

    2024年02月02日
    浏览(37)
  • 利用暴力攻击破解登陆密码

    长久以来,入侵远程计算机系统的工具和技术并没有发生翻天覆地的变化。例如,在许多情况下,普通用户只要知道了相关密码,就能立刻变身为管理员。虽然这些情形听起来不够曲折,但在大多数情况下,暴力攻击是通过利用密码管理缺陷来入侵系统的最简单实用的方法。

    2024年02月05日
    浏览(38)
  • 利用EXCEL进行XXE攻击

    Microsoft Office从2007版本引入了新的开放的XML文件格式,新的XML文件格式基于压缩的ZIP文件格式规范,由许多部分组成。 我们可以将其解压缩到特定的文件夹中来查看其包含的文件夹和文件,可以发现其中多数是描述工作簿数据、元数据、文档信息的XML文件。 我们创建一个ex

    2024年02月07日
    浏览(44)
  • 间谍软件开发商利用漏洞利用链攻击移动生态系统

    导语:间谍软件开发商结合使用了零日漏洞和已知漏洞。谷歌TAG的研究人员督促厂商和用户应加快给移动设备打补丁的步伐。 间谍软件开发商利用漏洞利用链攻击移动生态系统去年,几家商业间谍软件开发商开发并利用了针对 iOS 和安卓用户的零日漏洞。然而,它们的漏洞利

    2024年02月09日
    浏览(48)
  • 漏洞利用与缓冲区溢出攻击

    目录 简介: 1. 漏洞利用基础 2. 缓冲区溢出攻击 3. 缓解缓冲区溢出攻击 3.1 边界检查 3.2 使用安全函数 3.3 使用堆栈保护技术 总结: 简介: 漏洞利用是渗透测试中的重要部分,它允许攻击者通过利用软件或系统的漏洞来获取未经授权的访问权限。其中,缓冲区溢出攻击是最常

    2024年02月14日
    浏览(100)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包