好久没分享东西了,今天分享个实用代码审计技巧  

  使用grep,玩转代码审计,适用于linux/mac,windows需要另行安装grep:

  使用场景如下:快速寻找项目中所有的Sink,快速寻找符合适配条件的所有代码文件

  常规的idea,已经不能满足我们的需求,又要全量Sink,又需要符合适配条件

  以java业务代码审计为例:

  首先列出部分敏感函数:exec(,command(:

  使用grep全局搜索:

grep -rn "exec(" --include="*.java" ./

  

 这样我们就可以发现Sink和对应的对应的行数,非常的方便

 这个用法,我在代码审计中经常用,有个弊端就是,当Sink关键字变多了,一次又一次grep,又显得很浪费时间:

 我写了一个小脚本:

  

  其中sink.txt是我们的Sink关键字:

  

  

  现在我们使用grep可以批量找sink了,真的令人开心.

  但是这不是完美的,不知道大家代码审计是否遇到过这种情况,我在代码审计中,经常遇到如下场景:

  以php某工程代码为例子:

    一段不需要登录的代码:

$PAGE->set_url('/help_ajax.php');

$PAGE->set_context(context_system::instance());

$data = get_formatted_help_string($identifier, $component, true);

echo json_encode($data);

  访问/help_ajax.php,响应200,没有跳转

  一段需要登录的代码:

$PAGE->set_url('/admin/dataformats.php');

$PAGE->set_context($syscontext);

require_login();

 访问/admin/dataformats.php,响应302跳转主页登陆

 更多的时候,我们要挖掘前台的安全漏洞,前台的rce漏洞比后台rce价值更大更高,这时候有个需求,也是很多人的需求,获取所有前台代码文件:

 这里的两个特征:

1.包含set_url(

2.不需要的附加依赖,不包含require_login(,甚至还有别的不需要的附加依赖

  一般审计php项目,我都是用vs code,vs code全局搜索也很香,我觉得比idea全家桶好用

  一个坑:全局搜索set_url(,发现存在require_login(,看得很累,工程项目一旦很大,一个个看过去,非常的累  

  使用正则匹配精准定位:

  尝试过的正则如下:

(1)[^require_login\(\)\;].*set_url\(.*\).*[^require_login\(\)\;].*

(2)[^require_login()\;]*|set_url\(

(3)(?!require_login).*set_url\(.*\).*(?!require_login).*

(4)[require_login();]{0}.*set_url\(.*\)\;.*[require_login();]{0}

(5)[require_login();]{0}.*set_url\(

(6)[require_login();]{0}set_url\(

.....

 自己的能力真的是有限的,这些正则,vs code基于正则搜索,grep -E 基于正则搜索,均不能得到完全符合规则的代码文件,终究有好几个不符合条件

 这里,退一步海阔天空:

 (1)使用findSink/grep,拿到所有包含set_url(的代码文件:

  这两种方法都可以 

(1)find . -name '*.php' | xargs grep 'set_url'

(2)grep -r "set_url" --include="*.php" ./

  这两种方法都可以:

  

  拿到所有符合条件的代码文件后:

  简单的处理下:

  使用编辑器自带的正则替换功能:    

 把:后面的都替换成空

 效果如下: 

  现在我们拿到了所有的文件

  这里非常感谢rr师傅提供的思路:grep -L

  首先单个文件举例子:

  如果代码文件中包含了require_login关键字的,就会返回空,反之,如果不包含require_login关键字的代码文件,就会原样返回:  

  

  文件工程项目很大,一个个grep -L非常的累,这里我又写了一个辅助脚本:

  

  演示效果:

  

  运行代码:

  现在拿到的所有文件都是前台可以访问文件:

  

  如果再后续看代码中,又发现一些附属不必要的依赖,同样可以使用这种方法去筛选,非常的方便快捷!

   相关程序后续传到git上去

  

使用grep命令,玩转代码审计寻找Sink的更多相关文章

  1. 经验分享:如何用grep对PHP进行代码审计

    这是一个常见的误解- 企业需要购买复杂和昂贵的软件来发现应用程序中安全漏洞:而这些专门的软件应用程序,无论是黑盒或白盒,开源或商业,都能很快的发现安全漏洞. 事实是:所有这些专业的漏洞扫描工具都有其特 ...

  2. linux管道命令grep命令参数及用法详解---附使用案例|grep

    功能说明:查找文件里符合条件的字符串. 语 法:grep [-abcEFGhHilLnqrsvVwxy][-A<显示列数>][-B<显示列数>][-C<显示列数>] ...

  3. grep命令參数及使用方法

    功能说明:查找文件中符合条件的字符串. 语 法:grep [-abcEFGhHilLnqrsvVwxy][-A<显示列数>][-B<显示列数>][-C<显示列数>] ...

  4. grep命令参数和使用方法

    功能说明:查找符合串的条件的文件. 语言 法国:grep [-abcEFGhHilLnqrsvVwxy][-A<显示列数>][-B<显示列数>][-C<显示列数>] ...

  5. Centos下grep命令简介

    grep命令简介 grep 是一个最初用于Unix操作系统的命令行工具.在给出文件列表或标准输入后,grep会对匹配一个或多个正则表达式的文本进行搜索,并只输出匹配(或者不匹配)的行或文本. grep ...

  6. 12个 Linux 中 grep 命令的超级用法实例

    12个 Linux 中 grep 命令的超级用法实例 你是否遇到过需要在文件中查找一个特定的字符串或者样式,但是不知道从哪儿开始?那么,就请grep来帮你吧. grep是每个Linux发行版都预装的一 ...

  7. Linux中利用grep命令如何检索文件内容详解

    前言 Linux系统中搜索.查找文件中的内容,一般最常用的是grep命令,另外还有egrep命令,同时vi命令也支持文件内容检索.下面来一起看看Linux利用grep命令检索文件内容的详细介绍. 方法 ...

  8. linux的grep命令参数全拼详解

    今天为了查找文件中某段字符,找了好久,最后成功使用指令: find . -name "*.cpp" |xargs grep -in “get_itemInfo” | grep -v ...

  9. Linux中grep命令的12个实践例子

    grep是每个Linux发行版都预装的一个强有力的文件模式搜索工具.无论何种原因,如果你的系统没有预装它的话,你可以很容易的通过系统的包管理器来安装它(Debian/Ubuntu系中的apt-get和 ...

随机推荐

  1. 安装redis3.0.5

    首先在官网下载redis-3.0.5.tar.gz 在某一个要安装redis的目录下输入命令 tar xzf redis-3.0.5.tar.gz 实现解压缩 进入解压缩后的redis目录 输入mak ...

  2. 新入手服务器不会玩?抢占式实例服务器教程,从零搭建tomcat超简流程

    新入手服务器不会玩?抢占式实例服务器教程,从零搭建tomcat超简流程 相信很多新人入手Linux服务器后,一脸无奈,这黑框框究竟能干啥?忽觉巨亏血亏不是? 这里面门道可不是你想象中的那么点,简则服务 ...

  3. 深入理解netty---从偶现宕机看netty流量控制

    一.业务背景 目前移动端的使用场景中会用到大量的消息推送,push消息可以帮助运营人员更高效地实现运营目标(比如给用户推送营销活动或者提醒APP新功能). 对于推送系统来说需要具备以下两个特性: 消息 ...

  4. String(char[] value, boolean share) {

    记录一下今天被蠢到 1. 在观察StringBuffer类的toString方法时,发现了个没见过的方法 return new String(toStringCache, true); @Overri ...

  5. 3D Analyst Tools(3D Analyst 工具)

    3D Analyst 工具 工具里有又细分如下分类: 注:以下代码的参数需要另行配置,不能直接执行:Python2不支持中文变量! 1.3D 要素 # Process: 3D 内部 arcpy.Ins ...

  6. 3D渲染

    3d渲染的本质是在三维坐标系中绘制很三角形,用三角形拼成物体,然后投影到二维图像上,所以做渲染就是画好这些三角形;3d渲染输入的是很多三角形的3个顶点和属性,输出的是一张2d图.画好三角形要研究给三角 ...

  7. Probius+Prometheus通过API集成POD监控

    上一篇文章Probius+Kubernetes任务系统如虎添翼讲了我们把Kubernetes集成进了任务系统Probius,上线后小伙伴反馈虽然摆脱了Kubernetes-Dashboard,但还是得 ...

  8. 8086存储器组织和IO组织 奇偶分体

    8086的存储器组织 存储器的基本存储单位是字节,每个字节用唯一的地址码表示. 若存放的信息是8位的字节数据,将按顺序存放: 若存放的信息是16位的字数据,则将字的高位字节放在高地址中,低位字节放在低 ...

  9. NX Open,怎样取到面的环LOOP

    在封装的ufun .NET库里面,对UF_MODL_ask_face_loops这个函数并没有封装,导致我们很多不便,那我们在.NET下怎样才能使用这个函数呢??当然是手动处理一下 Public Fu ...

  10. 什么是js事件,冒泡机制,事件捕获,默认行为

    js事件: javascript使我们能够有能力创建动态页面,事件就是可以被js侦测到的行为,网页中每个元素都可以产生某些触发js函数的事件. 例如我们可以在用户点击某个按钮时产生一个click事件来 ...