『Java安全』shell命令执行的几种方式与Runtime.exec()本地命令执行漏洞调用分析

最新推荐文章于 2024-02-25 13:34:03 发布
最新推荐文章于 2024-02-25 13:34:03 发布
阅读量5.5k 收藏 8
点赞数 2
分类专栏: # Java安全基础 文章标签: 命令执行 安全 后端 java 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/121438079
版权

文章目录

命令执行

Runtime.exec()

在传入命令时,可以传入String和String[]

String cmd1 = "/bin/sh -c whoami";
String[] cmd2 = {"/bin/sh", "-c", "whoami"};

这是由于exec()方法自带多种重载方法,其中envp指定环境,dir指定目录

public Process exec(String command)
public Process exec(String command, String[] envp)
public Process exec(String command, String[] envp, File dir)
public Process exec(String cmdarray[])
public Process exec(String[] cmdarray, String[] envp)
public Process exec(String[] cmdarray, String[] envp, File dir)

代码审计一下传入String的exec()
在这里插入图片描述
其实都是缺省了后几个参数,追一下完整的public Process exec(String command, String[] envp, File dir)
在这里插入图片描述
可以看到String command经过StringTokenizer类实例处理后转换成了String[] cmdarray,然后最终调用了public Process exec(String[] cmdarray, String[] envp, File dir)因此最终都是要转换成String[]来执行命令的。重点关注一下这里String转String[]的具体操作,首先追一下StringTokenizer的构造器
在这里插入图片描述

对于传入单参数,补全了两个参数又调用了三参数的重载构造器,这里加入了delimiter分隔符为空格、tab、回车换行、换行、换页符。
在这里插入图片描述
然后下面cmdarray的生成将String command按照默认分隔符进行切片保存,最终获得了String[] cmdarray,起一个动态调试:
在这里插入图片描述
得到String[]后,就到了public Process exec(String[] cmdarray, String[] envp, File dir),剩下就是ProcessBuilder的工作了
在这里插入图片描述
整个Runtime.exec(String command)的调用如下:

java.lang.Runtime.exec(String command)
java.lang.Runtime.exec(String command, String[] envp, File dir)
java.lang.Runtime.exec(String[] cmdarray, String[] envp, File dir)
java.lang.ProcessBuilder.start();
java.lang.ProcessImpl.start();
java.lang.UNIXProcess.<init>;
java.lang.forkAndExec();

然后在java.lang.UNIXProcess.<init>构造器又调用了forkAndExec,这是一个native方法。

private native int forkAndExec;

接下来就是不同系统下调用C创建shell进程返回PID

ProcessBuilder.start()

调用链下一步是调用了它,因此也能直接用ProcessBuilder.start()来执行命令

String[] cmd = {"/bin/sh", "-c", "ls"};
InputStream is = new ProcessBuilder(cmd).start().getInputStream();

ProcessImpl与UNIXProcess类

在JDK9以后ProcessImpl与UNIXProcess合并了,因此可以视为一个东西,都是调用了native方法新建进程。

Bb动态调试一下UNIXProcess是如何实例化的:
在这里插入图片描述
这里我们传入的指令是/bin/sh -c ls
在这里插入图片描述
prog是/bin/sh加上结束符的c字符串,也就是ascii码串;argBlock是参数串-c ls,其中空格被视为结束符;argc是参数数量2;其他都是默认。因此,构造反射

package Test;

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.lang.reflect.Constructor;
import java.lang.reflect.Method;

public class ReflectionUNIXProcess {
    public static void main(String[] args) throws Exception {
        Class<?> cls = Class.forName("java.lang.UNIXProcess");

        Constructor<?> constructor = cls.getDeclaredConstructors()[0];
        constructor.setAccessible(true);

        String[] cmd = {"/bin/sh", "-c", "ls"};

        byte[] prog = toCString(cmd[0]);
        byte[] argBlock = getArgBlock(cmd);
        int argc = argBlock.length;
        int[] fds = {-1, -1, -1};

        Object obj = constructor.newInstance(prog, argBlock, argc, null, 0, null, fds, false);

        Method method = cls.getDeclaredMethod("getInputStream");
        method.setAccessible(true);

        InputStream is = (InputStream) method.invoke(obj);
        InputStreamReader isr = new InputStreamReader(is);
        BufferedReader br = new BufferedReader(isr);
        String line = br.readLine();
        while (line != null){
            System.out.println(line);
            line = br.readLine();
        }
    }

    private static byte[] toCString(String str) {
        byte[] bytes  = str.getBytes();
        byte[] result = new byte[bytes.length + 1];
        System.arraycopy(bytes, 0, result, 0, bytes.length);
        result[result.length - 1] = (byte) 0;
        return result;
    }

    private static byte[] getArgBlock(String[] cmdarray){
        byte[][] args = new byte[cmdarray.length-1][];
        int size = args.length;
        for (int i = 0; i < args.length; i++) {
            args[i] = cmdarray[i+1].getBytes();
            size += args[i].length;
        }
        byte[] argBlock = new byte[size];
        int i = 0;
        for (byte[] arg : args) {
            System.arraycopy(arg, 0, argBlock, i, arg.length);
            i += arg.length + 1;
        }
        return argBlock;
    }
}

模仿ProcessImpl的操作写了两个自定义函数,运行成功
在这里插入图片描述

Runtime.exec()命令执行漏洞

由于String转String[]的过程中是以\t\n\r\f截断的,只要绕过这五类分隔符就能拼接指令执行:

Linux测试

package Test;

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class LCE {
    public static void main(String[] args) throws Exception {
        String hacker = ";cat${IFS}resource/rw.txt";
        String cmd = "/bin/sh -c whoami" + hacker;
        InputStream is = Runtime.getRuntime().exec(cmd).getInputStream();
        InputStreamReader isr = new InputStreamReader(is);
        BufferedReader br = new BufferedReader(isr);
        String line = br.readLine();
        while (line != null){
            System.out.println(line);
            line = br.readLine();
        }
    }
}

这里使用${IFS}绕过空格,就能执行后面的代码cat resource/rw.txt

原因

究其原因,是因为转换为String[]时候空格将cat的参数拆开了导致无法命令运行,而调用sh的参数-c要求传入一个完整的字符串,动态调试发现已经被拆成两个字符串了
在这里插入图片描述
如果用空格就会一直等待运行
在这里插入图片描述

Windows测试

Windows平台这边则无需绕过空格,直接拼接命令即可运行
在这里插入图片描述
字符串拆开不影响命令的完整性
在这里插入图片描述

防御

  • 添加钩子函数监测命令执行
  • 监测输入命令,过滤非法命令

欢迎在评论区留言,欢迎关注我的CSDN @Ho1aAs

Ho1aAs
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【IDEA】windows环境下IDEA java代码Runtime.getRuntime.execshell执行环境的解决方案
01-07
windows环境下IDEA java代码Runtime.getRuntime.execshell执行环境的解决方案前言解决办法后记 前言 在使用IDEA本地开发监控守护线程的后台,我遇上了执行环境不兼容的问题,爆出各种“xxx不是内部或外部命令,也不是可运行的程序或批处理文件。”,简而言之就是Windows下的CMD默认不识别shell环境下的诸如sh、ssh、cat等命令。这个小demo很小,但是因为公司架构要求前后端分离+docker容器部署,所以这其中的坑还是不少的,执行环境不兼容就是其中额问题之一。 解决办法 下载Git Bash进行安装,安装Git Bash是为了方便我们能在w
Java代码执行shell命令的实现
08-25
主要介绍了Java代码执行shell命令的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,要的朋友们下面随着小编来一起学习学习吧
javaRuntime.exec()可能带来的命令注入安全问题的解决办法
最新发布
qq_53058639的博客
02-25 776
我们在使用Runtime.getRuntime().exec()的时候,可以指定一个命令或者脚本,让它执行,类似于调用系统指令来进行完成一项任务。但是这个方法如果有安全检查,它会被报出一个CommandInjection的风险,也就是命令注入的风险,因为命令可能是外部传入,这个时候,正常的命令都不会有任何问题,但是如果被人恶意指定,比如删除系统服务,删除一些特定目录等的操作,就可能造成非常严重的后果。
Android中执行java命令的方法及java代码执行并解析shell命令
09-03
给大家介绍Android中执行java命令的方法及java代码执行并解析shell命令要的朋友一起学习
java start打开cmd窗口并停住_浅析Java命令执行
weixin_39614109的博客
11-28 834
在使用java.lang.Runtime#exec()执行命令时,为何有时候命令前缀要加cmd /c或者bash -c?今天就来一探究竟!Java执行命令的3种方法首先了解下在Java执行命令的方法:常用的是 java.lang.Runtime#exec()和 java.lang.ProcessBuilder#start(),除此之外,还有更为底层的java.lang.Process...
Java执行脚本命令以及调用外部程序说明
热门推荐
Jack Zhu
02-20 1万+
Java执行脚本命令以及调用外部程序说明 一、Java中关于ProcessBuilderRuntime 类的介绍 在Java中要想调用脚本或者其他程序必须通过ProcessBuilderRuntime 类,以上两个类任选一个就行,关于他们的介绍如下: ProcessBuilder.start() 和 Runtime.exec() 方法都被用来创建一个操作系统进程(执行
java使用Runtime.exec执行linux shell复杂命令遇到的坑
qq_20983263的博客
11-03 2333
使用Runtime.getRuntime().exec执行LINUX shell复制命令没反应
Java安全-注入漏洞(SQL注入、命令注入、表达式注入、模板注入)
Love&Share
11-07 9795
文章目录注入SQL注入JDBC拼接不当造成SQL注入框架使用不当造成SQL注入不安全的反射命令注入代码注入表达式注入Spel表达式注入OGNL表达式注入模板注入 注入 SQL注入 JDBC拼接不当造成SQL注入 JDBC有两种方法执行SQL语句,分别为PrepareStatement和Statement。两个方法的区别在于PrepareStatement会对SQL语句进行预编译,而Statement方法在每次执行时都要编译,会增大系统开销。理论上PrepareStatement的效率和安全性会比Stat.
Java 命令执行笔记
snowlyzz的博客
11-02 1167
JAVA命令执行学习
Java本地命令执行
qq_62046696的博客
03-15 1187
本来文件叫做 null-bytes.txt\u000.jpg却变成了,null-bytes.txt,把后面的截断了,大多数出现这种漏洞的地方。文件上传,判断后缀jpg但是其实存的是前面txt的后缀,这不就是php%00截断的原理吗,基本一样就不细说了。直接构造这个类发现也进去了这个方法,但是弹不出来肯定是某些变量的值的限制,哪天闲了我深层搞一搞。前言:本来想安装一个自己搞搞,但是jdk版本太低了不兼容,还好很容易理解。代码就一行满屏的报错,还是500真的是累了,唉先看懂原理明天调试把。
Android中级篇之用JAVA代码执行shell命令.rar_Android 执行shell_android_effectoh
09-20
Android中级篇之用JAVA代码执行shell命令
java调用shell命令并获取执行结果的示例
08-27
今天小编就为大家分享一篇java调用shell命令并获取执行结果的示例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
java中如何获取Runtime.getRuntime().exec()或ProcessBuilder.start()产生的进程信息
motrsky的专栏
07-29 6305
问题产生:最近做基于selenium2+robot framework的自动化项目中有如下求: 在服务器端关闭因Runtime.getRuntime().exec()或ProcessBuilder.start()调用”pybot”下发执行测试机脚本产生的诸如IEDriverServer.exe或chromedriver.exe以及iexplore.exe等进程以节省资源,且要支
执行Runtime.exec异常: error=12,Cannot allocate memory
chifengxin的专栏
06-28 8514
Exception Trace:In the Linux circumstance, when the program executes till this place:Process p = Runtime.getRuntime().exec(cmdArr);it throws an exception like this:java.io.IOException: Cannot run pr
浅析ProcessBuilder
weixin_33853827的博客
01-18 1027
概述 ProcessBuilder类是J2SE 1.5在java.lang中新添加的一个新类,此类用于创建操作系统进程,它提供一种启动和管理进程(也就是应用程序)的方法。在J2SE 1.5之前,都是由Process类处来实现进程的控制管理。每个 ProcessBuilder 实例管理一个进程属性集。它的start() 方法利用这些属性...
关于Runtime.getRuntime().exec()产生阻塞的2个陷阱
好习惯成就伟大
02-18 4349
本文来自网易云社区 背景 相信做java服务端开发的童鞋,经常会遇到Java应用调用外部命令启动一些新进程来执行一些操作的场景,这时候就会使用到Runtime.getRuntime().exec(),然而这个方法如果不谨慎很容易掉进陷阱。 我们的一个PDF转码服务就踩到了这个坑掉进陷阱,这个转码服务主要是对pdf进行加密和转码成swf。这个服务上线后大部分时间都是稳定运行的,但是隔一段时间就会死掉,然后人肉手动重启一下服务就复活了。看了日志,有时候有一堆关于pdf转码过程的错误日志,有时候死掉的时
解决JAVARuntime.getRuntime().exec()方法启动子进程时候出现阻塞问题
皓亮君的博客
11-30 2451
文章目录问题描述有问题的代码能正常运行的代码新建一个线程接受子进程控制台输出信息main函数代码 问题描述 本人在开发中遇到通过Process类启动子进程的时候出现子进程一直阻塞,排查了子进程程序代码没有问题代码,然后偶然找到一个大佬写的博客才解决了此问题,要单独启动一个新的线程接受子进程控制台的输出信息方可解决。 有问题的代码 public static void main(String[] args) throws Exception { String osname = Sys
Java Runtime exec 执行shell命令小结
quyingzhe0217的博客
12-21 1922
java Runtime 执行shell命令 常见问题小结。 等待、卡死、门闩
java 连android设备执行adb命令中断返回流阻塞,Android通过Runtime.getRuntime().exec实现Ping和Traceroute命令时readLine阻塞问题解决...
05-25
Process process = Runtime.getRuntime().exec("adb shell command"); BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream())); String line; while ((line = reader....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值