审Java代码的时候,经常会遇到接口因鉴权问题被组合拳getshell,例如泛微和海康安防这些系统。为了平时审代码与绕鉴权时节省点时间,花了点时间分析总结了下所有与Java鉴权有关的问题,写了这工具,主要用于动态生成可能用于绕过的payload进行fuzz测试。默认发送Get、Post-Form-datas、POST-json 数据包。工具没跑出来大概率也就不存在了,估计就得深入代码了。
NoAuth -n 不需要鉴权的接口地址(如/login、/register、/index.jsp、/index.html、/js/background.js等) -a 需要鉴权的接口地址 -u url地址
例:NoAuth -n /login -a /admin/adduser -u http://localhost:8080/
如图,成功利用http://localhost:8080/Firstfilter/..;/FirstServlet 绕过鉴权
NoAuth -n /login -a /admin/adduser -u http://localhost:8080/ -debug 1 ,添加 -debug 1 参数可查看所有请求 :
动态字典:NoAuth -list -a /upload/uploadFile -n /login/index.html ,动态生成字典,自己可以搭配burp跑一遍
· 下载
链接:https://pan.quark.cn/s/1587551206fa
原文始发于微信公众号(Web安全工具库):java-web 自动化鉴权绕过 -- NoAuth
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论