Java-web 自动化鉴权绕过

工具介绍

审Java代码的时候，经常会遇到接口因鉴权问题被组合拳getshell，例如泛微和海康安防这些系统。为了平时审代码与绕鉴权时节省点时间，花了点时间分析总结了下网上所有与Java鉴权有关的问题，写了这工具，主要用于动态生成可能用于绕过的payload进行fuzz测试。默认发送Get、Post-Form-datas、POST-json 数据包。工具没跑出来大概率也就不存在了，估计就得深入代码了。

工具功能

  Usage:  [-lunat] [-list create dict ] [-n interface without authentication] [-a interface An interface that requires authentication] [-t thread] [-debug choose start debug] [-h help]  Options:   -a string         An interface that requires authentication, such as /admin/adduser   -debug int         choose start debug, such -debug 1   -h    This help   -n string         An interface without authentication, such as /login   -t int         Thread Num (default 8)   -u string         A target url(Please add http or https)   

使用方法

NoAuth -n 不需要鉴权的接口地址(如/login、/register、/index.jsp、/index.html、/js/background.js等) -a 需要鉴权的接口地址 -u url地址

例：NoAuth -n /login -a /admin/adduser -u http://localhost:8080/^[1]

如图，成功利用http://localhost:8080/Firstfilter/^[2]..;/FirstServlet  绕过鉴权

NoAuth  -n /login -a /admin/adduser -u http://localhost:8080/^[3] -debug 1 ，添加 -debug 1 参数可查看所有请求 ：

动态字典：NoAuth -list  -a /upload/uploadFile -n /login/index.html ，动态生成字典，自己可以搭配burp跑一遍

工具获取

https://github.com/wa1ki0g/NoAuth

文章来源：夜组安全

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END