wJa

wJa是一款结合DAST、SAST、IAST的综合性应用程序安全分析工具，支持对java web程序的安全性进行分析，含有反编译，代码审计，调试jar包，代理追踪等用于分析软件安全的功能。

wJa的工作原理

本片文章将会用几个示例来讲解如何使用wJa进行软件安全性分析

cheetah脚本语言

为了能够让SAST更加的附有灵活性，wJa引入了cheetah脚本语言来应对复杂的代码场景，cheetah是一门基于java开发的专门针对渗透测试的脚本解析语言，如果想要完全掌握wJa的使用，灵活地进行代码审计，可以通过https://github.com/Wker666/Demo进行cheetah脚本语言的学习。

wJa使用

需求环境：JDK 1.8

通过使用java -jar wJa.jar启动wJa，启动之后会要求选择指定分析的jar包程序，这里我们选择wJa自带的测试靶场进行分析。

wJa UI介绍

菜单栏目

File:保存当前的cheetah脚本

script:运行/停止当前cheetah脚本

左边栏目

Decompile:反编译文件结构

cheetahLangue:cheetah自带的支持库函数信息和当前工作区的cheetah脚本

中间栏目

Decompile:jar包中通过class反编译的java代码

CheetahLangue:cheetah脚本代码

DebugJar:jar文件调试

Web:简易浏览器

wJa反编译的代码比较

可以看到虽然与源代码不是完全相同，但是在语义上时没有区别的，反编译的代码一般来讲是不能直接运行的，但是作为分析是完全足够的。

wJa调试jar包

在选择wJa的启动之后，wJa将会自动启动jar包，并且注入agent和attach到jar包进程上，所以wJa提供了追踪真实调用链和调试jar包的功能。

转到DebugJar栏目，可以看到如下内容：

右下方是jar包的输出信息，可以看到jar包的操作信息

例如想要调试org.joychou.controller.SQLI中的jdbc_sqli_vul方法，就需要将org/joychou/controller/SQLI和jdbc_sqli_vul填入class和method中，点击get method content按钮，下方就会显示对应的代码信息：

在每一条代码前方都有一个编号，这一个编号实际上对应的是这条语句执行完时的字节码偏移，可以通过这个来给代码下断，例如我想要停在sql = new StringBuilder().append("select * from users where username = '").append(username).append("'").toString();这条语句（并没有开始执行），那么就需要在ID中输入54，因为运行完54时候就要开始执行这条语句了，这时候我们通过浏览器访问对应的接口页面。

这里需要注意需要开启mysql，SQL注入部分需要数据库支持，建表的sql语句在create_db.sql中。

这时候可以看到调试信息：

第一行信息是当前运行到的字节码偏移，下面就是变量信息，下面就可以单步步过一步步调试。

Agent方法的IAST跟踪

通过调用：StartRecordFun和StopRecordFun方法进行起始和结束的跟踪。

StartRecordFun
无参数
返回值:无
StopRecordFun
参数1:要查询的起始类名+方法名
返回值:执行流数组

需要注意的是不能注入所有的类，因为SpringBoot启动类不能注入，注入的话运行速度太慢了，所以需要在config/agent_exclude.txt指定不注入的类起始字符，例如：org/springframework

案例1：扫描SQL注入

根据三元组原理，首先需要找到入口点，而入口点则是类的方法，可是并不是所有类都是SpringBoot的类，这时候就需要扫描存在指定注解的类，wJa自带了扫描的方法：

function getSpringAnnotationValue(an){
    anSize = GetArrayNum(an);
    i = 0;
    flag = 0;
    while(i < anSize){
        if(GetAnnotationName(an[i]) == "org/springframework/web/bind/annotation/RequestMapping"){
            allValue = GetAnnotationArgListValue(an[i],"value");
            return allValue[0];
        }
        if(GetAnnotationName(an[i]) == "org/springframework/web/bind/annotation/GetMapping"){
            allValue = GetAnnotationArgListValue(an[i],"value");
            return allValue[0];
        }
        if(GetAnnotationName(an[i]) == "org/springframework/web/bind/annotation/PostMapping"){
            allValue = GetAnnotationArgListValue(an[i],"value");
            return allValue[0];
        }
        if(GetAnnotationName(an[i]) == "org/springframework/web/bind/annotation/RequestParam"){
            allValue = GetAnnotationArgSingValue(an[i],"value");
            return allValue;
        }
        if(GetAnnotationName(an[i]) == "org/springframework/web/bind/annotation/RestController"){
            flag = 1;
        }
        i = ToInt(i + 1);
    }
    if(flag == 1){
        return "/";
    }
    return "";
}

function GetAllSpringApiClasses(){
    array res;
    allClass = GetAllClassName();
    size = GetArrayNum(allClass);
    i = 0;
    while(i < size){
        an = GetClassAnnotation(allClass[i]);
        p = getSpringAnnotationValue(an);
        if(p != ""){
            ArrayAddEle(res,allClass[i]);
        }
        i = ToInt(i + 1);
    }
    return res;
}

感谢您的来访，获取更多精彩文章请收藏本站。