【java代码审计】命令注入

吃_早餐

已于 2023-02-28 18:15:27 修改

阅读量1.3k

点赞数

分类专栏： java代码审计文章标签： java

于 2023-02-28 18:15:00 首次发布

本文链接：https://blog.csdn.net/m0_52923241/article/details/129267012

版权

java代码审计专栏收录该内容

3 篇文章 0 订阅

订阅专栏

1 成因

开发者在某种开发需求时，需要引入对系统本地命令的支持来完成某些特定的功能，此时若未对用户的输入做严格的过滤，就可能发生命令注入。

2 造成命令注入的类或方法

Runtime类：提供调用系统命令的功能

①Runtime.getRuntime()：获得JVM运行时的环境

②Runtime.getRuntime().exec(cmd)执行用户输入的cmd命令

存在命令注入的代码如下：

protected void doGet (HttpServletRequest req, HttpServletRequest resp) throws ServletException, IOException{
    String cmd = req.getParameter("cmd");
    Process process = Runtime.getRuntime().exec(cmd);
    InputStream in = process.getInputStream();

    ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
    byte[] b = new byte[1024];//获取1M的一个缓冲区
    int i = -1;
    while((i=in.read(b)) != -1)//判断是否读完
    {
        byteArrayOutputStream.write(b,0,i);
    }
    PrintWriter Out = resp.getWriter();
    out.print(new String(byteArrayOutputStream.toByteArray()));
}

ProcessBuilder：可以创建操作系统进程

//利用指定的操作系统程序和参数构造一个进程生成器。
ProcessBuilder(String… command) 

//设置此进程生成器的操作系统程序和参数。 
command(List<String> command) 
command(String… command) 
 
//设置此进程生成器的工作目录。
directory(File directory) 
    
//返回此进程生成器环境的字符串映射视图。 environment方法获得运行进程的环境变量,得到一个Map,可以修改环境变量 
environment() 
    
//使用此进程生成器的属性启动一个新进程。
start()

Groovy：

①execute()：可执行shell命令，eg：

def command = "git log"
def proc = command.execute()//执行git log的命令
proc.waitFor()
def status = proc.exitValue()

②result = sh(script: "shell command", returnStdout: true).trim()

③ GroovyShell()

//直接执行Groovy代码
GroovyShell shell = new GroovyShell();shell.evaluate("\'calc\'.execute()");
//通过加载本地脚本
//1.
GroovyShell shell = new GroovyShell();
Script script = shell.parse(new File("src/main/java/ysoserial/vulndemo/GroovyTest.groovy"));
script.run();
//2.
GroovyShell shell = new GroovyShell();
shell.evaluate(new File("src/main/java/ysoserial/vulndemo/GroovyTest.groovy"));
//通过加载远程脚本
GroovyShell shell = new GroovyShell();shell.evaluate(new URI("http://127.0.0.1:8888/GroovyTest.groovy"));

3 连接符进行命令注入

在这里插入图片描述

如下代码不存在命令注入漏洞

protected ByteArrayOutputStream ping(String url) throws IOException{
	Process process = Runtime.getRuntime().exec("ping " + url);
	InputStream in = process.getInputStream();
	ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
	byte[] b = new byte[1024];
	int i = -1;
	while((i = in.read(b)) != -1){
		byteArrayOutputStream.write(b,0,i);
	}
	return byteArrayOutputStream;
}

若注入www.baidu.com&ipconfig时，java环境会把他当做完整的字符串，不会被当作两条命令执行。

对于Java环境中的命令注入，连接符的使用存在一些局限。

4 正确处理可控参数

public Process exec(String command) throws IOException {
        return exec(command, null, null);
    }
public Process exec(String command, String[] envp) throws IOException {
        return exec(command, envp, null);
    }
public Process exec(String cmdarray[]) throws IOException {
        return exec(cmdarray, null, null);
    }
public Process exec(String[] cmdarray, String[] envp, File dir)
        throws IOException {
        return new ProcessBuilder(cmdarray)
            .environment(envp)
            .directory(dir)
            .start();
    }

当传入的参数类型为字符串时，会先经过StringTokenizer的处理，主要是针对空格以及换行符等空白字符进行处理，后续会分割出一个cmdarray数组保存分割后的命令参数，其中cmdarray的第一个元素为所要执行的命令。经过处理后的参数www.baidu.com&ipconfig成为ping命令的参数，因此此时的连接符&并不生效，从而无法注入系统命令。