egzlv3

点击上方蓝字关注我们

一、heapdump案例

1.1 项目中的分析

这个是项目中遇到的一个例子，发现了heapdump泄露，但没有找到可用session，当时就想着内存中应该是有账号密码的，于是就开始找了起来。

用OQL进行搜索，先找数据库密码，很好找，但由于是内网数据库没啥用。

然后无脑直接找session id，但没有找到

观察数据包，发现使用了JWT认证，但搜索JWT开头字符串依旧没有结果

再仔细看了一下请求包，cookie中的参数名为，搜索该参数名但依旧搜索不到

后面我又想到直接搜索类名即可得到对应字符串，所以我就直接去找类下面的内容

但并没有找到什么东西，点击Shallow Heap和Retained Heap进行排序也没找到什么有用信息

然后看着一系列的类名想起，java中并不是只有String，byte[]和char[]也可以转换为String，所以又去找byte[]和char[]的内容

然后点击 Shallow Heap 按钮倒序排列，我发现了新天地

PK开头的明显是压缩包，而其他的又很明显是HTTP请求包，于是我开始挨个右击->Copy->Save Value To File（注意，这里尽量不要直接复制值，因为1. 会有无法显示的字符导致看起来不够美观；2. 直接复制值仅能复制1024个字符，剩下的会被截断）

保存完之后，再打开文件，某一个请求包中就有别人登录时使用的明文账号密码！！！（至于格式为什么是这样的就不清楚了）

1.2 项目后的思考

1.2.1 为什么String不能倒序搜索，byte[]却可以？

做项目时，虽然找到了账号密码，但还有一些问题没有解决，想再测试一下。

简单了解了一下OQL和MAT，我们前面使用的直接搜索类的对象部分，其实是在各个对象的引用列表中穿梭查看。对于给定一个对象，通过MAT可以找到引用当前对象的对象，即入引用（Incomming References），以及当前对象引用的对象，即出引用（Outgoing References）。

还记得类对象的排序吗？

• 可以按照进行排序

• 不能按照进行排序

这是为什么呢？浅堆（Shallow Heap）和深堆（Retained Heap）是两个非常重要的概念，它们分别表示一个对象结构所占用的内存大小和一个对象被GC回收后，可以真实释放的内存大小。

浅堆是指一个对象所消耗的内存。在32位系统中，一个对象引用会占据4个字节，一个int类型会占据4个字节，long型变量会占据8个字节，每个对象头需要占用8个字节。

下面是String对象的几个属性：

3个int值共占12字节，对象引用占用4字节，对象头8字节，合计24字节。浅堆的大小只与对象的结构有关，与对象的实际内容无关。也就是说，无论字符串的长度有多少，内容是什么，浅堆的大小始终是24字节。因此类无法使用浅堆倒序排列。

还有，当时只在中找到了HTTP请求包，String里面是不是也有未找到的HTTP请求包（可能是找的方法不对，HTTP请求包大小位于中间部分，排序无法找到）。

后面我又进行了尝试，发现在Outgoing References搜索结果的列，除了能搜索类名，也可以搜索字符串的正则表达式，因此直接搜索就能找到HTTP请求了

但是直接在这里搜索关键字，还是无法直接找到可用的明文账号密码

1.2.2 可以使用OQL直接查询吗？

后面我又思考了一下，想尽量实现OQL直接搜索

但是当我想搜索密码的时候，就很一言难尽了，只找到了我测试时的登录请求

最后发现是比较符的问题，经过测试发现OQL的比较关键字仅能搜索前1024个字符，剩下的无法搜索到。而正好在1024个之后，所以无法搜索到（实际测试过也不行）。OQL表达式仅找到了、和比较关键字，找了一下也没找到字符串截断函数，所以无法使用这种方法搜索（当然，如果运气比较好关键字在前1024个字符内，就能搜索到）

但我们其实可以换一种思路，根据登录请求包的URL特征进行搜索，搜索POST类型，包含login的字符串

虽然仅找到一条结果（还是有很多明文的登录账号密码没有找到），但是确实可以快速得到一个可用口令

2.1 提取数据库账号密码

SpringBoot 1.x 2.x 都可以用（列举环境变量）

spring boot 1.x 版本 heapdump 查询结果，最终结果存储在java.util.Hashtable$Entry 实例的键值对中，所以也可以这样查询

spring boot 2.x 版本 heapdump 查询结果，最终结果存储在 java.util.linkedHashMap$Entry 实例的键值对中，所以也可以这么查找

2.2 提取认证信息

2.2.1 jwt认证提取

如果使用JWT进行认证，可以使用如下命令进行搜索。原理：jwt认证字符串永远都是以进行开头，所以搜索以开头或包含的字符串即可

除此之外，也可以搜索JWT的密钥关键字进行搜索，找到密钥就等同于任意用户登录

如果并未使用JWT相关库的话，可以先搜索到jwt相关关键字对应的类

然后根据类名去搜索，找到对应的key

2.2.2 一般session id提取

注意，搜索中的区分大小写

当然如果cookie中是自定义的session名，也需要去对应的进行搜索

2.2.3 提取明文账号密码

2.3 提取shiro key

点击Histogram按钮

在ClassName处搜索，在搜索结果处右击->List objects->with outgoing references。

然后点击decryptionCipherKey一行，左侧就会显示shiro key的值

然后使用python小脚本转换一下即可

除此之外，也可以用OQL进行查询

2.4 OQL其他搜索（用处不大）

提取内存中的文件路径

查看某个对象的具体内容

按字符串长度进行搜索

使用关键字可以得到所得对象的保留集

用来去除重复对象

原本可以查到15条password字符串

去重之后只有一条

这里就简单的放几个heapdump分析工具，具体的使用就不说了，用起来挺简单的

https://github.com/wyzxxz/heapdump_tool

https://github.com/whwlsfb/JDumpSpider

https://github.com/wdahlenburg/pyhprof

https://www.cnblogs.com/snowie/p/15561081.html

https://www.secpulse.com/archives/184037.html

https://www.cnblogs.com/icez/p/Actuator_heapdump_exploit.html

https://forum.butian.net/share/1032

https://blog.csdn.net/weixin_40418457/article/details/116323736

https://www.exploit-db.com/docs/50459

http://cr.openjdk.java.net/~sundar/8022483/webrev.01/raw_files/new/src/share/classes/com/sun/tools/hat/resources/oqlhelp.html#sizeof

https://docs.mendix.com/refguide/

https://blog.csdn.net/chengqiuming/article/details/120002225

https://www.cnblogs.com/kira2will/p/11312822.html

end

灼剑（Tsojan）

安全团队