声明:本公众号所发布的文章及工具只限交流学习,如有侵权,请告知我们立即删除,文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
在各个小hu期间进入内网后会拿到很多jar包,但是又没有时间去做代码审计,只是简单的查看数据库连接账密就跳到下一个节点去了,今天分享一个可以拿到jar包后,可以快速代码审计分析工具。
code-inspector
https://github.com/4ra1n/code-inspector该工具是一个小巧的GUI审计工具,针对springboot框架,提供一个SpringBoot的Jar包即可进行自动代码审计并生成报告,底层技术基于字节码分析。
选中jar包可分析出审计结果,通过审计结果快速定位代码问题。
jar-analyzer
在拿到审计报告后通过jar-analyzer工具来解析jar包,可快速罗列出Controllers层代码,查看漏洞存在得接口。
https://github.com/4ra1n/jar-analyzer
查找到漏洞接口后,可查看接口所调用得代码,针对漏洞代码进行分析。
原文始发于微信公众号(哈拉少安全小队):轻量化代审小工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论