详细请看这篇博客https://blog.csdn.net/JBlock/article/details/78220010。
我这里只是将这篇博客中的有关Java的命令行注入攻击进行实验验证。
命令分隔符注入命令
Java代码也提供一些接口,如Runtime.getRuntime().exec(“command”),System.exec(“command”),调用这两个命令,可以执行一些系统命令。下面给一段代码:
package exam;
import java.io.InputStream;
/**
* Created by Hollake on 2019\5\28 0028.
*/
public class OsTest {
// 此代码是在Windows下运行的,所以|需要进行转义为^|
public static void main(String[] args){
OsTest.osAttack("echo hello world^|dir");
}
public static void osAttack(String command) {
Runtime run = Runtime.getRuntime();
try{
Process process = run.exec("cmd.exe /k start "+ command);
InputStream in = process.getInputStream();
while(in.read() != -1){
System.out.println(in.read());
}
in.close();
process.waitFor();
} catch (Exception e){
e.printStackTrace();
}
}
}
在运行这些接口的时候也应该注意,如果command参数没有处理好,也很容易导致命令行注入。来个栗子:
如果执行的command命令如下:
echo “hello world”
如果输入的是:
echo “hello world”| dir
dir命令就会执行,并且会显示当前的目录结构。一般系统的命令分隔符有“;”,“&”,“&&”,“|”,“||”。
程序执行结果如下:会直接显示当前目录结构。
通过以上栗子可以总结出,命令行注入可以使得没有授权的代码或者命令得到执行,比如,exit,restart,读文件和目录,读取应用数据,修改应用数据,修改应用数据,甚至于隐藏一些非法操作。
当然我们也可以通过输入检查来避免命令行注入,对于“;”,重定向“>” / “<”以及空格这些有特殊的字符进行过滤。但是,使用黑名单往往也难以解决问题,因为还是可能有某些特殊字符还是会遗漏。即使没有遗漏,那么当我们需要输入这些特殊字符时,又该怎么处理呢?这里给出的解决方法就是“包围”+”转义”。当然,系统不同,包围和转义的规则也不一样。
在Linux/UNIX中,可将给定的字符串用单引号括起来,为什么用单引号?因为在shell代码的转义字符中单引号是硬转义,会使单引号中所有shell的特殊字符失去原来的意义。
在windows中,可以将给定的字符用双引号括起来,|,^,&等都是特殊字符。转义规则为:^^代表^,^|代表|,^”代表”,^&代表&。
虽然通过转义的处理,可以预防命令行的注入的问题,但是,难免在编程中引入错误,导致问题的引入,因此需要注意以下几点,即使存在命令行注入,也要将损失降低到最低。
- 不仅要在客户端过滤,也要在服务器端进行过滤。
- 要用最小权限去运行程序,不要给予程序多余的权限,最好只允许在特定的路径下运行,可以通过明确的路径运行命令。
- 在程序执行错误时不要显示与内部相关联的细节。
- 如果只允许运行有限的命令,使用白名单方式过滤。
- 对于需要运行命令的请求,尽可能减少外部数据的输入,比如,能传参数的就不要传命令行;web应用程 序,如果可以将一些数据保存在会话,就不要发给客户端。
- 如果存在下载文件,可以分配文件一个id号,通过id号来访问,而不通过文件名访问。如果允许输入文件名,就需要严格检查文件名的合法性,避免可能的命令注入。
1616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
