CodeqlLearn
记录学习codeql的过程
Install / Use
/learn @Firebasky/CodeqlLearnREADME
CodeqlLearn
在safe6sec师傅的基础上修改的,更加适合自己
AST
https://www.jianshu.com/p/ff8ec920f5b9
https://www.jianshu.com/p/4bd5dc13f35a
https://www.jianshu.com/p/68fcbc154c2f
学习过程
自己学习codeql 看过的一些文章
- CodeQL从入门到放弃 :heavy_check_mark:
- codeQL入门 :heavy_check_mark:
- Codeql 入门2 :heavy_check_mark:
- CodeQL笔记 :heavy_check_mark:
- 代码分析引擎 CodeQL 初体验 :heavy_check_mark:
- codeql学习笔记 :heavy_check_mark:
- CodeQL学习——CodeQl数据流分析 - bamb00 - 博客园 :heavy_check_mark:
- 原创 |CodeQL与AST之间联系 :heavy_check_mark:
- 使用静态代码检测微服务越权、未授权访问漏洞 :heavy_check_mark:
- 微服务下用静态代码扫描越权漏洞 :heavy_check_mark:
- CodeQL for Golang Practise(3)
- CodeQL静态代码扫描之实现关联接口、入参、和危险方法并自动化构造payload及抽象类探究
- Codeql分析Vulnerability-GoApp - FreeBuf网络安全行业门户
- codeql反序列化分析
- [原创]58集团白盒代码审计系统建设实践2:深入理解SAST-业务安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com
- 楼兰#CodeQL
- CodeQL学习笔记 | Gamous'Site
- language:go - Search - LGTM
- CodeQL 和代码扫描简介 - GeekMasher 的博客
- CVE-2018-11776: 如何使用CodeQL发现5个 Apache Struts RCEs
- CodeQL静态代码扫描规则编写之RemoteFlowSource
- CodeQL静态代码扫描之抽象类探究
- Codeql规则编写入门
- About LGTM - Help - LGTM
- LGTM help & documentation
- Capture the flag | GitHub Security Lab
- 分类: codeql - 食兔人的博客
- CodeQL - butter-fly
- 表达式
- mark/CodeQL-数据流在Java中的使用.md at master · haby0/mark
- github/securitylab: Resources related to GitHub Security Lab
- codeql挖掘React应用的XSS实践 | Image's blog
- SummerSec/learning-codeql: CodeQL Java 全网最全的中文学习资料
- CodeQL query help for Go — CodeQL query help documentation
- codeql使用指南_zzzzfeng的博客-CSDN博客_codeql使用
- Apache Dubbo:条条大路通RCE | GitHub 安全实验室
- 南大软件分析课程
- 各种语言危险sink
环境搭建
- 编译OpenJDK8并生成CodeQL数据库 :heavy_check_mark: 对jdk进行ql用处多多。。
真实例子
- 如何利用CodeQL挖掘CVE-2020-10199 :heavy_check_mark: 可以使用污点跟踪TaintTracking::Configuration 并且添加isAdditionalTaintStep
- 利用CodeQL分析并挖掘Log4j漏洞
- 使用codeql 挖掘 ofcms :heavy_check_mark:
- 使用codeql挖掘fastjson利用链 :heavy_check_mark:
- 用codeql分析grafana最新任意文件读取 :heavy_check_mark:
- codeql学习——污点分析 :heavy_check_mark:
- CodeQL从0到1(内附Shiro检测demo) :heavy_check_mark:
- Codeql分析Vulnerability-GoApp :heavy_check_mark: (go语言)
- 如何用CodeQL数据流复现 apache kylin命令执行漏洞 - 先知社区 :heavy_check_mark:
- 从Java反序列化漏洞题看CodeQL数据流 :heavy_check_mark:
- CodeQL 学习小记 :heavy_check_mark:
- 使用codeql挖掘fastjson利用链 :heavy_check_mark:
下载
文档: https://codeql.github.com/docs/codeql-cli/
二进制:https://github.com/github/codeql-cli-binaries
现成项目:https://github.com/github/vscode-codeql-starter
数据库下载,在线查询,规则搜索:https://lgtm.com/
生成数据库
第一步、创建索引代码数据库。得有数据库才能开始查询。
codeql database create <database> --language=<language-identifier>
支持的语言及language对应关系如下
| Language | Identity | | --------------------- | ---------- | | C/C++ | cpp | | C# | csharp | | Go | go | | Java | java | | javascript/Typescript | javascript | | Python | python | | Ruby | Ruby |
1、生成代码扫描数据库(java)
codeql database create D:\codeqldb/javasec --language=java --command="mvn clean install --file pom.xml -Dmaven.test.skip=true" --source-root=./javasec
注:source-root 为源码路径,默认为当前目录,可不指定
一些常用命令
跳过测试,构建
--command="mvn clean install --file pom.xml -Dmaven.test.skip=true"
无论项目结果如何,构建从不失败
--command="mvn -fn clean install --file pom.xml -Dmaven.test.skip=true"
包含xml文件https://github.com/github/codeql/issues/3887
codeql database init --source-root=<src> --language java <db>
codeql database trace-command --working-dir=<src> <db> <java command>
codeql database index-files --language xml --include-extension .xml --working-dir=<src> <db>
codeql database finalize <db>
将上面的命令拆分为如下4条命令,在index-files中将xml文件添加到CodeQL的数据库中CodeQL将XML文件包含到CodeQL数据库
第二种方案是在codeql-cli/java/tools/pre-finalize.cmd文件中插入--include "/resources//*.xml"
2、更新数据库
codeql database upgrade database/javasec
参考:https://help.semmle.com/lgtm-enterprise/admin/help/prepare-database-upload.html
编译与非编译
对于编译型语言来说,需要在创建索引数据库的时候增加编译的功能,主要是针对java,对于非编译性的语言来说,直接扫描吧
对于go来说,可编译也可不编译
基础查询
过滤 Method
根据Method name查询
import java
from Method method
where method.hasName("toObject")
select method
把这个方法的class name也查出来
import java
from Method method
where method.hasName("toObject")
select method, method.getDeclaringType()
根据Method name 和 interface name 查询
比如我想查询ContentTypeHandler 的所有子类toObject方法
import java
from Method method
where method.hasName("toObject") and method.getDeclaringType().getASupertype().hasQualifiedName("org.apache.struts2.rest.handler", "ContentTypeHandler")
select method
Call和Callable
Callable表示可调用的方法或构造器的集合。
Call表示调用Callable的这个过程(方法调用,构造器调用等等)
过滤 方法调用
MethodAccess
一般是先查method,与MethodAccess.getMethod() 进行比较。
比如查ContentTypeHandler 的 toObject() 方法的调用。
import java
from MethodAccess call, Method method
where method.hasName("toObject") and method.getDeclaringType().getASupertype().hasQualifiedName("org.apache.struts2.rest.handler", "ContentTypeHandler") and call.getMethod() = method
select call
上面这种查询方式不行,只能查到JsonLibHandler 这样显式定义的。
怎么改进呢?
也可以使用getAnAncestor() 或者getASupertype()*
import java
from MethodAccess call, Method method
where method.hasName("toObject") and method.getDeclaringType().getAnAncestor().hasQualifiedName("org.apache.struts2.rest.handler", "ContentTypeHandler") and call.getMethod() = method
select call
数据流跟踪
Local Data Flow分析SPEL
本地数据流 本地数据流是单个方法(一旦变量跳出该方法即为数据流断开)或可调用对象中的数据流。本地数据流通常比全局数据流更容易、更快、更精确。
import java
import semmle.code.java.frameworks.spring.SpringController
import semmle.code.java.dataflow.TaintTracking
from Call call,Callable parseExpression,SpringRequestMappingMethod route
where
call.getCallee() = parseExpression and
parseExpression.getDeclaringType().hasQualifiedName("org.springframework.expression", "ExpressionParser") and
parseExpression.hasName("parseExpression") and
TaintTracking::localTaint(DataFlow::parameterNode(route.getARequestParameter()),DataFlow::exprNode(call.getArgument(0)))
select route.getARequestParameter(),call
全局数据流分析要继承DataFlow::Configuration 这个类,然后重载isSource 和isSink 方法
class MyConfig extends DataFlow::Configuration {
MyConfig() { this = "Myconfig" }
override predi
Security Score
Audited on Mar 25, 2026