学习笔记-java代码审计-命令执行

最新推荐文章于 2024-07-31 16:44:12 发布
最新推荐文章于 2024-07-31 16:44:12 发布
阅读量430 收藏
点赞数
文章标签: 学习 java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35360663/article/details/127830457
版权

java代码审计-命令执行

0x01 漏洞挖掘

String cmd = request.getParameter("cmd");
Runtime runtime = Runtime.getRuntime(); //Runtime.getRuntime.exec
ProcessBuilder processBuilder = new ProcessBuilder(cmd); //ProcessBuilder.start()

String result = "";
try {
  //Process process = runtime.exec(cmd);
  Process process = processBuilder.start();
  //只是调用了对应进程没有回显,需要从流中读取
  BufferedInputStream bis = new BufferedInputStream(process.getInputStream());
  BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(bis));
  String line = "";
  while (null != (line = bufferedReader.readLine())) {
    result += line + "\n";
  }
  if (process.waitFor() != 0) {
    if (process.exitValue() == 1)
      response.getWriter().println("command exec failed");
  }
  bufferedInputStream.close();
  bufferedReader.close();
} catch (Exception e) {
  response.getWriter().println("error");
  return;
}
response.getWriter().println(result);

java的Runtime.getRuntime.execProcessBuilder.start,都是直接启动传入参数对应的进程。以curl为例,php的system会启动系统shell,然后通过shell来启动curl进程,这个过程中,如果传入的命令带有shell能解析的语法,就会首先解析。

所以,如果只是命令执行的部分参数可控,想在java中通过;、|、&等实现命令注入,是行不通的。当然不排除程序本身存在漏洞,只需传入参数即可造成漏洞。

如果命令以字符串形式传入Runtime.getRuntime.exec,程序会将传入的命令用空格来拆分。

Process process = runtime.exec("ping -c 1 " + ip);
//这种传入 127.0.0.1 | id,是无法正常执行的

如果执行命令使用的是ProcessBuilder.start,那么只能执行无参数的命令。因为ProcessBuilder不支持以字符串形式传入命令,只能拆分成List或者数组的形式传入,才能执行。

如果参数完全可控,可自行启动shell,然后在执行命令。

Process process = runtime.exec("sh -c whoami");

0x02 漏洞防御

命令执行漏洞的防御需要结合实际场景,没有很通用的防御手段。

  1. 尽量避免调用shell来执行命令。
  2. 如果是拼接参数来执行命令,对参数进行严格过滤,比如只允许字母数字。

0x03 参考资料

https://b1ngz.github.io/java-os-command-injection-note/

https://blog.csdn.net/u013256816/article/details/54603910

https://mp.weixin.qq.com/s/zCe_O37rdRqgN-Yvlq1FDg

点击关注,共同学习!安全狗的自我修养

github haidragon

https://github.com/haidragon

C-haidragon
关注
Java学习笔记-JDBC
haozhzhzh的博客
09-17 312
11 JDBC 简介 JDBC(Java DataBase Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序 ​ Java具有坚固、安全、易于使用、易于理解和可从网络上自动下载等特性,是编写数据库应用程序的杰出语言。所需要的知识Java应用程序与各种不同数据库之间进行对话的方法。 ​ JDB
一篇文章读懂Java代码审计之XXE
Summer's blog
05-13 1万+
前言   学习总结Java审计过程中笔记,审计方法。 阅读要求:有简单Java代码基础,了解漏洞原理。 漏洞简介    简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 有回显    不说废话,先看效果,成功读取文本内容。    代码分析漏洞成因: public String xxeDo...
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞。
Java代码审计命令执行
liguangyao213的博客
03-13 2338
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 命令执行(CommandInject) codeinject 访问url为http://localhost:8080/codeinject?filepath=src%26%26ipconfig 获取一个参数filepath,然后通过ProcessBuilder将数组cmdList
java代码审计--命令执行
goddemon
09-15 664
1.java常用执行系统命令函数 Runtime.exec Process GroovyShell.evaluate ProcessBuilder.start() 2.补充知识点 Process类方法: 1.destroy() 杀掉子进程。 2.exitValue() 返回子进程的出口值。 3.InputStream getErrorStream() 获得子进程的错误流。 4.InputStream getInputStream() 获得子进程的输入流。 5.OutputStream getOutput
Java代码审计-命令执行
最新发布
qq_44780157的博客
07-31 1606
Java代码审计-命令执行
完整的Java代码审计学习笔记资源(免费下载)
10-31
.gitignore 第一的 4年前 ...java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md 第一的 4年前 java代码审计-表达式注入.md 第一的
第30天:WEB漏洞-RCE代码及命令执行漏洞全解1
08-03
2. **Javaweb-Struts2框架类RCE漏洞**:Struts2框架中的某些版本存在远程代码执行漏洞,通过精心构造的请求,攻击者可以执行任意Java代码。 3. **一句话Webshell后门**:这是一种简单的Web后门,仅用一行代码即可...
JAVA审计学习笔记
ai_64的博客
04-24 801
前言: 代码审计涉及知识面较广,一方面要提高自身代码掌控的能力, 另一方面要多总结一些常用的高效审计技巧。 自动化的工具给出可能存在的缺陷清单,人工审计弥补工具的不足。 工具准备: IDEA、 Eclipse、 Sublime Text、 Fortify SCA(基于源代码)、 Findbugs(基于字节码) 工作环境: 1.甲方公司审计专岗, 一般项目数量都比较多,有自己定制的SDL规范扫描...
java代码审计8之命令执行
划水的小白白
08-04 1080
1、Java命令执行的函数 1.1、Runtime类 1.2、追踪三个函数的关系 1.3、ProcessBuilder类 1.4、ProcessImpl类 2、SpEL表达式 2.1、正常使用的场景 2.2、造成漏洞 2.3、漏洞修复 2.4、多种产生漏洞的情况 2.5、发现漏洞,重要关注两点: 之前的文章, php代码审计12之命令执行
[代码审计]某租车系统JAVA代码审计[前台sql注入]
weixin_30532759的博客
09-26 169
0x00 前言 艰难徘徊这么久,终于迈出第一步,畏畏缩缩是阻碍大多数人前进的绊脚石,共勉。 系统是租车系统,这个系统是Adog师傅之前发在freebuf(http://www.freebuf.com/articles/web/162910.html)的,他审的时候没有发现sql注入,但在评论中有个师傅说有前台sql注入。 那么我就来找找前台的sql注入吧,虽说是java但其实代码审...
Java代码审计-JS脚本劫持 及 修复处理意见
dilamo1968的博客
08-22 780
先通过iis7网站监控,输入自己的域名,就可以立马看到自己是不是遭遇JS劫持了,并且查询结果都是实时的,可以利用查询结果来更好的优化我们的网站。 以下情况,应用程序很容易受到js劫持的攻击: (1)讲js对象用作数据传输格式 (2)处理机密数据 概念: 即在一个函数运行之前把它劫持下来,添加我们想要的功能。当这个函数实际运行的时候,它已经不是原本的函数...
java代码审计文章集合
糖小喵
05-06 408
java环境基础 搭建Java Web开发环境 配置IDEA编辑器开发java web,从0创建项目 IDEA动态调试 IDEA配置tomcat maven配置和IDEA创建maven项目 IDEA如何导入eclipse项目 java基础环境配置,来自漏洞社区 java语法知识 菜鸟教程 理解java的三大特性之封装 理解java的三大特性之继承 理解java的三大特性之多...
java代码审计_Java代码审计入门篇
weixin_39923945的博客
02-12 817
本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 Java环境说明1. 安装Java环境安装完成后默认的安装目录:环境变量的配置,环境变量配置主要是告诉我们自己的电脑Java安装完后几个...
Java -- 代码审计
tryheart的博客
09-19 622
JAVA代码审计 文件下载 检查文件处理时,是否有对路径进行强限定,因为强限定路径可以避免用户恶意构建下载文件的路径 文件上传 了解文件路径 src—源代码目录(在部署的时候不会放入到容器里) WebContent(WebApp\Web)—Web 应用,服务器部署目录,在服务器中生成当前文件同名的目录部署,表示工程根路径。如WEBDemo工程的部署,会将 WebContent改名为WEBDemo。如需要访问改目录则直接使用http://localhost:8080/WEBDemo ​ WEB-INF
JAVA代码审计
热门推荐
gjgj的博客
07-13 1万+
小迪 2020-6 第55天 如果去分析代码:工具 加 手工 相结合的方法进行分析 Java代码审计,主要从代码层面分析: 主要分为三大类:1、常规性代码 2、框架性代码 ( 各种各样的开发框架) (最常见的 框架漏洞是 struts2 框架漏洞 ) ...
Java代码审计Java代码审计基础知识「二」
橙留香Park的博客
11-03 1260
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Go语言学习笔记 - 雨痕
"Go学习笔记 By 雨痕" 这是一份由雨痕编写的Go语言学习笔记,详细记录了作者在学习Go语言过程中的心得和知识点。笔记内容涵盖Go语言的基础到高级特性,适合已经观看过无闻大神视频并希望进一步巩固和深入理解Go语言...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C-haidragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值