java 命令行 反序列化_缓解java执行命令抵御反序列化漏洞的实现方案

最新推荐文章于 2022-04-15 20:21:00 发布
最新推荐文章于 2022-04-15 20:21:00 发布
阅读量96 收藏
点赞数
文章标签: java 命令行 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31948907/article/details/114235613
版权

最近st2 框架又出漏洞了 一大堆java被执行命令了

这里我提一个解决方案 可以适当缓解服务端被漏洞进行rce漏洞的问题

LD_PRELOAD替换进程底层函数 首先请看这篇文章   如果是某位c++的大佬 您老就不用看了:)

我们来看看我们替换的函数

#include

#include

#include

#include

#include

int system(const char *command){

printf("system!阻止执行!\n");

return 0;

}

FILE * popen( const char * command,const char * type){

printf("popen!阻止执行!\n");

return 0;

}

int execl(const char *path, const char *arg, ...){

printf("execl!阻止执行!\n");

return 0;

}

int execlp(const char *file, const char *arg, ...){

printf("execlp!阻止执行!\n");

return 0;

}

int execle(const char *path, const char *arg, ...){

printf("execle!阻止执行!\n");

return 0;

}

int execv(const char *path, char *const argv[]){

printf("execv!阻止执行!\n");

return 0;

}

int execvp(const char *file, char *const argv[]){

printf("execvp!阻止执行!\n");

return 0;

}

正因为这些函数都是linux内核导出的函数  如果我们能阻止jvm执行这些底层的c族函数 就能达到本文的目的

下面我们开始实战

我们先用java写接口list2 执行 whoami 命令 list3 它执行了pwd命令

两个接口分别用了ProcessBuilder 和 Runtime.getRuntime().exec()  两种不同的方法

a68fbf5fda6191c309ee1c214754f155.png

4f38c5fa11ad6b8f20facc2e71fd055e.png

我们跑起来看看(为了看起来更为清爽  我直接用浏览器访问接口)

正常访问list2接口

819b032df5f7f6f0a9311fcbcbf167ca.png

正常访问list3接口

054bc6c8f9e1198d8c79114b1da86802.png

java运行我们的jar包的后 访问 list3接口 能看到正确获取了当前的 /root/ctest 目录

我们现在使用LD_PRELOAD再观察对比一下

list2 阻止了命令执行

052a868f75a1e2a469d2a91fdd6f589d.png

6678958c77ce8c394394726121594bb0.png这是输出的阻止信息

list3我们也来试试看

1d4fecffaa102c5e14b942a87156e6ef.png

b0269d5726cca36e59749ff1f555a4c6.png

java不再可以执行系统命令了

以这种方法部署的java实例 可以有效地缓解命令执行漏洞 不过对于内存或文件读写还是没有什么好的办法

这种方法建议部署在类似于springboot这类的独立jar包部署的docker场景下

谢谢!

Nx·仙鹤无名
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java序列化反序列化原理及漏洞解决方案
08-18
主要介绍了Java序列化反序列化原理及漏洞解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
关于java项目中System.out.println()标准输出方法性能影响分析
万物不及香香的博客
10-24 1453
System.out.println()关于性能的影响
禁止JVM执行外部命令Runtime.exec -- 由Apache Commons Collections漏洞引发的思考
weixin_34007886的博客
11-13 266
update: 2015-11-16 新版apache commons collections 3.2.2修复漏洞 新版本的apache commons collections默认禁止了不安全的一些转换类。可以通过升级来修复漏洞。参考release说明:https://commons.apache.org/proper/common...
Java取消打印作业
张天疯的专栏
10-21 1047
 import java.awt.print.PrinterAbortException;import java.io.BufferedInputStream;import java.io.BufferedOutputStream;import java.io.FileInputStream;import java.io.FileOutputStream;import java.io.InputS
java控制打印机打印_java后台代码控制打印机
weixin_30715739的博客
02-18 1016
JFileChooserfileChoose=newJFileChooser();intstate=fileChoose.showOpenDialog(null);if(state==fileChoose.APPROVE_OPTION){Filefile=fileChoose.getSelectedFile();if(file==null...JFileChooser fileChoose=new...
【经验分享】如何高效避免jar冲突
在路上的德尔菲的博客
05-16 443
什么是jar包冲突 jar包冲突是指项目中依赖相同的groupId和artifactId不同的version的jar包。 具体来说可分为两种情况: 应用程序依赖的同一个Jar包出现了多个不同版本,并选择了错误的版本而导致JVM加载不到需要的类或加载了错误版本的类,为了叙述的方便,称之为第一类Jar包冲突问题; 同样的类(类的全限定名完全一样)出现在多个不同的依赖Jar包中,即该类有多个版本,并由于Jar包加载的先后顺序导致JVM加载了错误版本的类,称之为第二类Jar包问题。这两种情况所导致的结果其实是一样
Java序列化和反序列化_动力节点Java学院整理
08-30
把对象转换为字节序列的过程称为对象的序列化,把字节序列恢复为对象的过程称为对象的反序列化。接下来通过本文给大家介绍Java序列化和反序列化及主要的两种用途,感兴趣的的友参考下吧
Java反序列化回显解决方案.docx
12-19
Java反序列化回显解决方案.docx
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
JAVA序列化和反序列化的底层实现原理解析
08-25
主要介绍了JAVA序列化和反序列化的底层实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java打印被阻止,PDF生成的打印选项被阻止 - Interop
weixin_42131352的博客
03-22 193
我正在使用Microsoft.Office.Interop.Word.Document()接口将DOC / DOCX文件转换为PDF,但生成的PDF文件的打印选项被阻止 . 我正在使用“SaveAs2”方法,只传递两个参数,即文件名和文件格式 .对于通过Interop生成的pdf,是否有任何方法可以始终解锁打印选项?或者这是MS Office配置?public static string conv...
java反序列化漏洞漏洞原理,如何防御漏洞?如何利用此漏洞
DXfighting_的博客
04-15 2656
漏洞原理: 如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行漏洞防御: a. 代码审计 反序列化操作一般在导入模版文件、网络通信、数据传输、日志格式化存储、对象数据落磁盘或DB存储等业务场景,在代码审计时可重点关注一些反序列化操作函数并判断输入是否可控,如下: 同时也要关注第三jar包是否提供了一些公共的反序列化操作接口,如果没有相应的安全校验如白名单校验方案,且输入可控的话就
java struts2防止xss_GitHub - Xiang-do/Struts-S2-xxx: 整理收集Struts2漏洞环境
weixin_33978451的博客
02-16 541
Struts-S2-xxxStruts 漏洞2017年Struts被爆出的漏洞比以往多了很多,抽时间整理一下其中的环境以及POC和漏洞分析,学习一下其中的漏洞原理和分析,防御,以后如果再次爆发这样漏洞的时候,也能够自己试着分析一下,不用再去傻傻的等着了。S2-001 利用表单错误进行远程代码利用S2-002 标签 和 XSS漏洞S2-003 XWork ParameterInterceptors...
Java命令注入之防护
热门推荐
沧海一粟
07-16 1万+
1 Java中的命令注入 在Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子进程执行命令 b. Unix中以enecve 来创建子进程执行命令
Java执行外部命令
weixin_30260399的博客
07-09 108
在项目中执行一个linux的shell脚本,于是需要在java环境下执行外部命令如系统命令、linux命令的需求,本人小小研究了一下,又上网查了一些资料先整理如下。 java执行外部命令主要依赖两个类Process和Runtime。 一、Process类 ProcessBuilder.start()创建一个本机进程,并返回一个Process子类的一个实例,该实例可以获取进程的相关信息,也可以控制...
Java 执行系统命令
浅醉樱花雨的专栏
05-05 2403
有时候我们需要调用系统命令做一些事情,比如,执行cmd/shell命令,调用其他第三方程序等,Java已经提供了这样的功能,但是感觉不是太好用,没有python的subprocess简洁。 最近要用Java调用 ffmpeg 做一些音视频处理,封装个简单的进程工具类,这里记录下。 import java.io.Closeable; import java.io.IOException; impor...
java 无法打印_java打印代码无法正常工作
weixin_36304087的博客
02-12 838
我正在使用下面显示的java代码在连接到我的计算机的HP DeskJet1000 USB打印机上打印文本文件.每当我运行此代码时,都会发送打印作业,但打印机不会打印任何内容.状态显示打印机正在打印,但它甚至没有进入页面.请帮忙!我的代码如下:package printing;import java.io.FileInputStream;import javax.print.*;import jav...
JAVA-WEB常见漏洞-本地命令执行漏洞
Websec
11-24 1714
本地命令执行漏洞 攻击者一旦可以在服务器中执行任意本地系统命令就意味着服务器已被非法控制,在Java中可用于执行系统命令的方式有API有:java.lang.Runtime、java.lang.ProcessBuilder、java.lang.UNIXProcess/ProcessImpl。 1. Java本地命令执行测试 示例 - 存在本地命令执行代码(java.lang.Runtime): <%@ page contentType="text/html;charset=UTF-8" la
java protobuf 反序列化_性能最好的序列化反序列化,Protobuf的用法(maven项目)
最新发布
06-08
Java中有很多序列化反序列化的框架,其中Protobuf是一种性能非常好的序列化反序列化库。下面是Protobuf的用法(maven项目): 1. 首先,在pom.xml文件中添加以下依赖: ```xml <groupId>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值