1 漏洞原理
因用户输入未过滤或净化不完全,导致Web应用程序接收用户输入,拼接到要执行的系统命令中执行。一旦攻击者可以在目标服务器中执行任意系统命令,就意味着服务器已被非法控制。
2 审计中常用函数
一旦攻击者可以在目标服务器中执行任意系统命令,就意味着服务器已被非法控制。 在Java中可用于执行系统命令的方式有API有:
java.lang.Runtime
java.lang.ProcessBuilder
java.lang.ProcessImpl
2.1 java.lang.Runtime
java.lang.Runtime中提供了getRuntime()内置方法获取类实例。在java中用到最多的就 是java.lang.Runtime#exec() 来命令执行。
例1:
public static void main(String[] args) throws IOException {String command = "calc";Runtime.getRuntime().exec(command);}
输出结果
例2:
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class Demo06 {public static void main(String[] args) {try {String command = "ping ej0v42.dnslog.cn";Process proc = Runtime.getRuntime().exec(command); //打印执行结果InputStream in = proc.getInputStream();BufferedReader br = new BufferedReader(new InputStreamReader(in, "UTF8"));String line = null;while ((line = br.readLine()) != null) {System.out.println(line);}}catch (Exception e){e.printStackTrace();}}
}
输出结果
Runtime#exec() 调用链
断点后进入
点击步过进入
往上看代码哪里调用了它
接着往下走
接着步过到
剩下一路步过到这里java.security.AccessController.doPrivileged进行执行
根据系统类型区分底层要调用详细参考:
Runtime (Java Platform SE 7 )
2.2 java.lang.ProcessBuilder
ProcessBuilder类是JDK 1.5在java.lang中新添加的一个类,用于创建操作系统进程。 通常使用java.lang.ProcessBuilder#start() 来启动和管理进程。
import java.io.IOException;
public class Demo02 {static {try {Runtime.getRuntime().exec("calc");} catch (IOException e) {e.printStackTrace();}}public static void main(String[] args) {Demo02 evilClass=new Demo02();}
}
输出结果
2.3 java.lang.ProcessImpl
ProcessImpl类通常是为ProcessBuilder.start()创建新进程服务的,不能直接去调用。 看到
ProcessImpl类构造器私有,所以不能直接对其进行实例化,为了演示可以用反射
例1: 在获取到一个静态方法后,必须用 setAccessible 修改它的作用域,否则不能调用。
public static void impCommandExec2() throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {String[] cmds = {"calc"};Class clazz = Class.forName("java.lang.ProcessImpl");Method method = clazz.getDeclaredMethod("start",new String[]{}.getClass(),Map.class,String.class,ProcessBuilder.Redirect[].class,boolean.class);//获取到要调用的方法:java.lang.ProcessImpl,start,并且按照规范传递相关的参数method.setAccessible(true);//开启程序利用反射机制对私有的属性或方法进行访问method.invoke(null,cmds,null,".",null,true);//通过方法的对象调用期执行的方法}
输出结果
测试案例- 1:反射调用Runtime#exec()时的失败写法
Class clazz = Class.forName("java.lang.Runtime");
clazz.getMethod("exec", String.class).invoke(clazz.newInstance(), "id");
无法执行的原因: Clazz.newInstance() 中要求访问目标类构造函数,由于 java.lang.Runtime 的构造函数 私有,所以执行失败。
Method.invoke()
Clazz.newInstance() 中要求访问目标类构造函数,由于 java.lang.Runtime 的构造函数 私有,所以执行失败。
Method.invoke()
写法一: 通过java.lang.Runtime类内部方法getRuntime()获取当前实例。
Class clazz = Class.forName("java.lang.Runtime");
clazz.getMethod("exec",
String.class).invoke(clazz.getMethod("getRuntime").invoke(clazz),
"calc.exe");
关于反射调用静态方法: 由于静态方法不属于任何对象,只属于类本身,所以使用invoke时不需要传实例对象。
写法二: 反射获取私有构造函数。用 setAccessible 修改它的作用域。
Class clazz = Class.forName("java.lang.Runtime");
Constructor m = clazz.getDeclaredConstructor();
m.setAccessible(true);
clazz.getMethod("exec", String.class).invoke(m.newInstance(), "calc");
总结:注意利用反射机制调用命令API时是否具有访问权限的问题
例2: 使用ProcessBuilder.start()执行"ifconfig -a"命令
InputStream in = new ProcessBuilder("ifconfig -a").start();
