Java代码审计之命令执行

最新推荐文章于 2025-11-04 09:52:04 发布
原创 最新推荐文章于 2025-11-04 09:52:04 发布 · 972 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析命令执行漏洞的成因及危害,通过示例代码展示如何在Java程序中不当使用命令执行函数导致的安全风险,并提供审计策略及修复建议。

介绍

由于业务需求,程序有可能要执行系统命令的功能,但如果执行的命令用户可控,业务上有没有做好限
制,就可能出现命令执行漏洞。
 

漏洞示例

此处以 getRuntime 为例,示例代码片段如下:

String cmd = request.getParameter("cmd");
Runtime.getRuntime().exec(cmd);

审计策略

这种漏洞原理上很简单,重点是找到执行系统命令的函数,看命令是否可控。在一些特殊的业务场景是能
判断出是否存在此类功能,这里举个典型的实例场景,有的程序功能需求提供网页截图功能,笔者见过多数
是使用 phantomjs 实现,那势必是需要调用系统命令执行 phantomjs 并传参实现截图。而参数大多数
情况下应该是当前 url 或其中获取相关参数,此时很有可能存在命令执行漏洞,还有一些其它比较特别的
场景可自行脑洞。
java 程序中执行系统命令的函数如下:

Runtime.exec
Process
ProcessBuilder.start
GroovyShell.evaluate
...

代码示例

修复方案

避免命令用户可控
如需用户输入参数,则对用户输入做严格校验,如&&、 |、 ;等
 

Java代码审计命令执行漏洞
悦分享
08-02 1084
执行了ls&&结果报错,看显示结果发现过滤了&&,然后把&转编码发现还是会报错,但是从服务端代码来看并没有做参数的过滤。从代码中可以看出来程序只使用trim()方法对jdk进行了两遍的空格过滤,然后直接和后面拼接的命令一起执行。上面的代码显示jdk这个参数是从请求中获取的,看到这里已经能确定是个命令执行漏洞了,下面我们来利用这个漏洞。可以看到这里依次调用了3个命令执行的方法,如果命令都能成功执行的话,可以执行3次。进行代码审计时遇到一个比较典型命令执行漏洞,适合新手学习,给大家分享下整个过程。...
Java代码审计之远程命令执行漏洞(REC)详解
悦分享
01-23 832
在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。很多人喜欢把代码执行漏洞称为命令执行漏洞,因为命令执行漏洞可以执行系统命令,而代码执行漏洞也会执行系统命令,这样就容易混淆。
java代码审计】命令注入
m0_52923241的博客
02-28 1854
开发者在某种开发需求时,需要引入对系统本地命令的支持来完成某些特定的功能,此时若未对用户的输入做严格的过滤,就可能发生命令注入。
java代码审计
最新发布
weixin_74737710的博客
11-04 315
重点关注传参 传参是否落入危险函数中 细致跟踪落入危险函数中的接口。红色 - 是删去的 绿色+ 是加上的 重点分析加上的代码 加以利用。代码使用spring boot开发 通过注释的方式配置程序的接口。假设正在使用的9.0.0 可以分析9.5.0更新的漏洞加以利用。查找网站中使用到的组件和类库版本 针对组件和类库完成攻击。分析网站使用到的组件和类库 看是否有使用存在漏洞的类库。需要寻找存在漏洞的组件 并且这些组件在程序中被使用。通过排查接口的代码 查看是否使用危险函数。通常是在源码能运行的情况下去进行的。
Runtime.getRuntime().exec详解
liuqinhou的博客
02-22 3836
Runtime
学习笔记-java代码审计-命令执行
人饭子的博客
11-13 518
java代码审计-命令执行 0x01 漏洞挖掘 String cmd = request.getParameter("cmd"); Runtime runtime = Runtime.getRuntime(); //Runtime.getRuntime.exec ProcessBuilder processBuilder = new ProcessBuilder(cmd); //ProcessB...
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
Java代码审计】本地命令执行函数
网络安全从业者的学习笔记
02-20 748
在服务器中时常会调用命令执行的代码,以完善或加强系统的功能需求,一旦这些调用命令执行的接口被攻击者恶意利用,就会导致服务器沦陷。
精选资源
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
java代码审计 命令注入 及 修复建议
dilamo1968的博客
08-30 1194
命令注入: 是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。 在Web应用中,有时候会用到一些命令执行的函数,如php中system、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。 命令注入漏洞主要表现为以下两种形式: 1、攻击者能够算改程序执行的命令:攻击者直接控...
Java -- 代码审计
tryheart的博客
09-19 717
JAVA代码审计 文件下载 检查文件处理时,是否有对路径进行强限定,因为强限定路径可以避免用户恶意构建下载文件的路径 文件上传 了解文件路径 src—源代码目录(在部署的时候不会放入到容器里) WebContent(WebApp\Web)—Web 应用,服务器部署目录,在服务器中生成当前文件同名的目录部署,表示工程根路径。如WEBDemo工程的部署,会将 WebContent改名为WEBDemo。如需要访问改目录则直接使用http://localhost:8080/WEBDemo ​ WEB-INF
代码审计之代码执行
qq_35420342的博客
03-20 678
代码执行审计和sql漏洞审计很相似,sql注入是想sql语句注入在数据库中,代码执行是将可执行代码注入到webservice 。这些容易导致代码执行的函数有以下这些:eval(), asset() , preg_replace(),call_user_func(),call_user_func_array(),array_map()其中preg_replace()需要/e参数。代码执行注入就是 在...
代码审计——代码执行漏洞概述
王嘟嘟的博客
10-19 739
0x00 前言 如饥似渴的学习。 总纲导航。 https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 概述 代码执行漏洞是指应用程序本身过滤不严,用户可以通过请求将代码注入到应用中执行。 1. 挖掘经验 eval()和assert()函数导致的代码执行漏洞大多是因为载入缓存或者模板以及对白能量的处理不严格导致的。 preg_...
JAVA-WEB常见漏洞-本地命令执行漏洞】
Websec
11-24 2014
本地命令执行漏洞 攻击者一旦可以在服务器中执行任意本地系统命令就意味着服务器已被非法控制,在Java中可用于执行系统命令的方式有API有:java.lang.Runtimejava.lang.ProcessBuilder、java.lang.UNIXProcess/ProcessImpl。 1. Java本地命令执行测试 示例 - 存在本地命令执行代码(java.lang.Runtime): <%@ page contentType="text/html;charset=UTF-8" la
jsp小后门
收集盒 Book box
08-30 4639
by 园长MM  一:执行系统命令: 无回显执行系统命令: ? 1 "i"));%> 请求:http://192.168.16.240:8080/Shell/cmd2.jsp?i=ls 执行之后不会有任何回显,用来反弹个shell很方便。 有回显带密码验证的:
Java安全-Java Web后门学习 Jsp 一句话分析
Love&Share
05-03 3002
文章目录Java Web后门一句话木马反射调用类加载(冰蝎马实现方式)ELSE参考 Java Web后门 Java 是强类型语言,不能够像 PHP 那样利用字符串组合当作系统函数使用 Java 中常用的命令执行函数 java.lang.Runtime.exec() java.lang.ProcessBuilder.start() 一句话木马 最简单的 jsp 一句话木马 <% Runtime.getRuntime().exec(request.getParameter("i"));%> .
java代码审计--命令执行
goddemon
09-15 762
1.java常用执行系统命令函数 Runtime.exec Process GroovyShell.evaluate ProcessBuilder.start() 2.补充知识点 Process类方法: 1.destroy() 杀掉子进程。 2.exitValue() 返回子进程的出口值。 3.InputStream getErrorStream() 获得子进程的错误流。 4.InputStream getInputStream() 获得子进程的输入流。 5.OutputStream getOutput
Runtime.exec() 的陷阱
热门推荐
Vern的专栏
11-25 1万+
原文地址:http://www.javaworld.com/javaworld/jw-12-2000/jw-1229-traps.html?page=4 作为Java语言的一部分。java.lang包被隐藏的导入到每一个Java程序。这个包的表面陷阱,经常影响到大多数程序员。这个月,我将讨论运行时exec()方法时的潜伏陷阱。 陷阱4:当运行exec()不会 java.lang.Ru
Java代码审计:漏洞来源与挑战
在本篇关于Java代码审计的文章中,主要讨论了两个关键方面:程序员编码不当引发的安全问题和第三方组件使用不当所导致的风险。 首先,文章指出程序员在编码过程中存在的问题。编码不当往往源于对安全性的忽视,比如...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值