最新项目安全检测,发现配置文件中数据库密码,redis密码仍处理明文状态
于是整理了一篇:SpringBoot集成jasypt,加密yml配置文件:https://blog.csdn.net/qq_38254635/article/details/132026841
过程比较曲折,一直报错:Failed to bind properties under ‘spring.datasource.password‘ to java.lang.String
于是整理了一篇:https://blog.csdn.net/qq_38254635/article/details/132027639
所有都配置好了,发现一个致命问题,使用 ps -ef | grep java 可以清晰的看到秘钥,裂开了啊!
1、不能改动任何的代码。
2、隐藏 nohup 启动命令里面的配置参数。
大部分都是按照C的思路处理,将配置参数提前写入内存中,然后在启动的时候,通过指针指向对应的配置,以达到隐藏配置的目的。
依据这个链接,学习了一下:https://zhuanlan.zhihu.com/p/610215116?utm_id=0
新建一个目录
cd /
mkdir test
cd test
新增测试文件
touch test.c
测试程序: test.c
#include <stdio.h>
int main(int argc,char **argv){
printf("argc=%d\n",argc);
printf("argv[0]=%s\n",argv[0]);
printf("argv[1]=%s\n",argv[1]);
printf("argv[2]=%s\n",argv[2]);
getchar();
return 0;
}
编译测试程序
gcc test.c
运行测试程序
./a.out 123 456
查看进程
ps -ef
进程的查看结果,直接运行命令行参数用ps命令直接打印了出来。
现在要做的就是把后面的参数隐藏起来。
隐藏库程序 hide.c
touch hide.c
编写代码 hide.c
#define _GNU_SOURCE
#include <dlfcn.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int (*main_bak) (int, char **, char **);
/*
* 所有的argv指向的内存先备份,然后全部改为*,再将argv指针指向备份内存
*/
static int mymain(int argc, char **argv, char **env) {
int ret = 0,i = 0,len = 0;
char **argvbak = NULL;
if(argc > 1){
argvbak=(char **)calloc(argc,sizeof(char *));
for(i = 1;i < argc;i++){
len = strlen(argv[i]);
argvbak[i] = (char *)calloc(len,sizeof(char));
strcpy(argvbak[i],argv[i]);
strncpy(argv[i],"*",strlen(argv[i]));
argv[i] = argvbak[i];
}
}
ret = main_bak(argc, argv, env);
if(argc > 1){
for(i = 1;i < argc;i++){
free(argvbak[i]);
}
free(argvbak);
}
return ret;
}
int (*__next_libc_start_main)(int (*main)(int, char **, char **),
int argc,
char **argv,
void (*init) (void),
void (*fini) (void),
void (*_fini) (void),
void (*stack_end));
int __libc_start_main(int (*main)(int, char **, char **),
int argc, char **argv,
void (*init)(void),
void (*fini)(void),
void (*_fini)(void),
void (*stack_end))
{
__next_libc_start_main = dlsym(RTLD_NEXT, "__libc_start_main");
main_bak = main;
return __next_libc_start_main(mymain, argc, argv, init, fini, _fini, stack_end);
}
编译代码 hide.c
gcc -O2 -fPIC -shared -o hide.so hide.c -ldl
使用参数隐藏的方式运行程序
LD_PRELOAD=./hide.so ./a.out 111 222
查看进程
以上便实现了 隐藏
原项目的启动命令:
nohup java -jar -Djasypt.encryptor.password='1234qwer' /app/web.jar --server.port=8080 --spring.config.location=/app/web.yml >> /app/web.out 2>&1 &
在此基础上采用隐藏库即可,及命令前加上 LD_PRELOAD,如下:
LD_PRELOAD=./hide.so nohup java -jar -Djasypt.encryptor.password='1234qwer' /app/web.jar --server.port=8080 --spring.config.location=/app/web.yml >> /app/web.out 2>&1 &
如果再其他地方启动,使用绝对路径即可:
LD_PRELOAD=/test/hide.so nohup java -jar -Djasypt.encryptor.password='1234qwer' /app/web.jar --server.port=8080 --spring.config.location=/app/web.yml >> /app/web.out 2>&1 &
执行完成之后,查看项目进程
ps -ef |grep java
1、直接下载.so文件
CSDN地址:https://download.csdn.net/download/qq_38254635/88140515
百度网盘地址:https://pan.baidu.com/s/1HcPlHjRpBsmUTU8GnAhKfg?pwd=dge1
提取码:dge1
2、放到服务器里,在启动命令前添加下面命令即可。
LD_PRELOAD=/my/hide.so
地址需根据放服务器的位置调整。
参考链接:
Java 程序隐藏命令行参数:https://www.5axxw.com/wenku/pg/5100338h.html
如何隐藏进程的启动参数?:https://www.zhihu.com/question/27518530
linux小妙招-隐藏命令行参数(不修改源码):https://zhuanlan.zhihu.com/p/610215116?utm_id=0