Java代码审计之命令执行

java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634

命令执行（CommandInject）

codeinject

访问url为http://localhost:8080/codeinject?filepath=src%26%26ipconfig

获取一个参数filepath，然后通过ProcessBuilder将数组cmdList中的字符串拼接起来执行命令，由于没有对输入filepath进行过滤，原本用作查看目录下文件的一个功能就会被执行恶意命令。

通过Java执行系统命令，与cmd中或者终端上一样执行shell命令，最典型的用法就是使用Runtime.getRuntime().exec(command)或者new ProcessBuilder(cmdArray).start()。从JDK1.5开始，官方提供并推荐使用ProcessBuilder类进行shell命令操作

public String codeInject(String filepath) throws IOException {
 
    String[] cmdList = new String[]{"sh", "-c", "ls -la " + filepath};
    ProcessBuilder builder = new ProcessBuilder(cmdList);
    builder.redirectErrorStream(true);//将标准输入流和错误输入流合并，通过标准输入流读取信息
    Process process = builder.start();//通过start方法启动前面输入的命令
    return WebUtils.convertStreamToString(process.getInputStream());
​
}

使用&&将我们要执行的命令拼接在参数后面就可以达到命令注入的目的。

codeinject/host

    Process process = builder.start();
   return WebUtils.convertStreamToString(process.getInputStream());
​
}

在以往http1.0中并没有host字段，但是在http1.1中增加了host字段，并且http协议在本质也是要建立tcp连接，而建立连接的同时必须知道对方的ip和端口，然后才能发送数据。既然已经建立了连接，那host字段到底起着什么样的的作用？

Host头域指定请求资源的Intenet主机和端口号，必须表示请求url的原始服务器或网关的是比如www.test.com和mail.test.com两个域名IP相同，由同一台服务器支持，服务器可以根据host域，分别提供不同的服务，在客户端看来是两个完全不同的站点。

也就是说请求头中的host字段是可以被人为修改的，通过request.getHeader("host")从请求头直接获取host是不安全的，当我们构造这样的host字段时就会造成命令注入Host: www.baidu.com&&ipconfig。

codeinject/sec

这里给出了codeinject的修复版本，利用SecurityUtil.cmdFilter来对传入的参数进行过滤，严格限制用户输入只能包含a-zA-Z0-9_-.字符。

private static final Pattern FILTER_PATTERN = Pattern.compile("^[a-zA-Z0-9_/\\.-]+$");
​
public static String cmdFilter(String input) {
    if (!FILTER_PATTERN.matcher(input).matches()) {
        return null;
    }
    return input;
}