Java代码审计-命令执行

前言

今天来学一下java代码审计中的命令执行漏洞相关知识，浅浅记录一下。

一、漏洞简介

命令执行漏洞是指应用有时需要调用一些执行系统命令的函数，如果系统命令代码未对用户可控参数做过滤，则当用户能控制这些函数中的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击。
命令执行攻击主要存在以下几个危害：继承 Web 服务程序的权限去执行系统命令或读/写文件，反弹 shell，控制整个网站甚至控制服务器，进一步实现内网渗透。
在 PHP 开发语言中有 system()、exec()、shell_exec()、eval()、passthru()等函数可以执行系统命令。在 Java 开发语言中可以执行系统命令的函数有 Runtime.getRuntime.exec 和ProcessBuilder.start。

二、命令连接符

Windows与Linux均支持：

• cmd1 | cmd2 只执行cmd2

• cmd1 || cmd2 只有当cmd1执行失败后，cmd2才被执行

• cmd1 & cmd2 先执行cmd1，不管是否成功，都会执行cmd2

• cmd1 && cmd2 先执行cmd1，cmd1执行成功后才执行cmd2，否则不执行cmd2

Linux单独支持：

• cmd1;cmd2 依次顺序执行命令

三、ProcessBuilder命令执行

1.ProcessBuilder简介

ProcessBuilder类是java.lang包下的基础类，在使用时无需导入，可以直接使用。它主要用于创建和运行各类外部程序。其start() 方法利用这些属性创建一个新的 Process 实例，可以利用 ProcessBuilder 执行命令。

如下示例，ping本地

public static void main(String[] args) throws IOException {
        try {
            // 创建 ProcessBuilder 实例
            ProcessBuilder processBuilder = new ProcessBuilder("cmd","/c","ping", "127.0.0.1");
            System.out.println(processBuilder.command());//要执行的指令打印
            // 启动进程
            Process process = processBuilder.start();
            // 获取进程的输入流
            InputStream inputStream = process.getInputStream();
            BufferedReader reader = new BufferedReader(new InputStreamReader(inputStream));

            String line;
            // 读取进程的输出
            while ((line = reader.readLine()) != null) {
                System.out.println(line);
            }
            // 等待进程结束
            process.waitFor();
        } catch (IOException | InterruptedException e) {
            e.printStackTrace();
        }
    }

输出如图所示。

2.漏洞利用

如上述代码，如果直接输入的命令为127.0.0.1|dir,则执行效果如下。

四、Runtime exec 命令执行

1.Runtime exec简介

java.lang.Runtime 公共类中的 exec()方法同样也可以执行系统命令，exec()方法的使用 方式有以下 6 种：

//在单独的进程中执行指定的字符串命令
public Process exec(String command) 
//在单独的进程中执行指定的命令和参数
public Process exec(String[] cmdarray) 
//在具有指定环境的单独进程中执行指定的命令和参数
public Process exec(String[] cmdarray, String[] envp) 
//在具有指定环境和工作目录的单独进程中执行指定的命令和参数
public Process exec(String[] cmdarray, String[] envp, File dir) 
//在具有指定环境的单独进程中执行指定的字符串命令
public Process exec(String command, String[] envp) 
//在具有指定环境和工作目录的单独进程中执行指定的字符串命令
public Process exec(String command, String[] envp, File dir)

比如直接拼接字符串，然后exec()方法执行命令，结果如下

public static void main(String[] args) throws IOException {
        // 从用户输入获取要 ping 的目标 IP 地址
        System.out.print("请输入要 ping 的 IP 地址或域名: ");
        BufferedReader reader = new BufferedReader(new InputStreamReader(System.in));
        String userInput = reader.readLine();

        // 不安全的命令执行
        String command = "cmd /c"+ "ping " + userInput;  // 直接使用用户输入构建命令
        Process process = Runtime.getRuntime().exec(command);

        // 打印结果
        BufferedReader processInput = new BufferedReader(new InputStreamReader(process.getInputStream()));
        String line;
        while ((line = processInput.readLine()) != null) {
            System.out.println(line);
        }
    }

输入如下图所示。

2.漏洞利用

和第二部分一样，输入的参数未经过过滤，随意拼接造成漏洞执行。

五、探索

1.代码底层原理

探索一下，Runtime.getRuntime().exec(command)执行命令的底层原理。

String command = "cmd /c"+ "ping " + userInput;  // 直接使用用户输入构建命令
Process process = Runtime.getRuntime().exec(command);

进入exec方法

发现调用了exec(String command, String[] envp, File dir)方法，默认envp和dir为空。

发现这个函数 是借助StringTokenizer工具 对字符串进行分割，存入数组，再执行。

接下来，调试具体看下情况。

然后，再次调用了exec(cmdarry,encp,dir),

原来，在这里最终调用的还是ProcessBuilder()方法 。

2.疑问

还是有个小疑问，在写代码进行测试的时候，命令语句，拼接了cmd /c 。如果没有这个，也能执行ping命令，但是加入|dir注入并没有成功。那么，为什么会没有cmd /c 注入不会成功呢？另外为什么要加cmd /c 呢？

个人之见解如下：

• 首先对于没有使用cmd /c 的方式，不会造成命令注入，上述看代码原理已经探索过，分割字符串时按照空格分割，所以会造成"ping" “127.0.0.1|dir” 两个字符串。"127.0.0.1|dir"被看成一个整体字符串，而命令不被解析，导致注入失败。

• 对于使用 cmd /c的方式，更加灵活，可以使用管道、重定向等命令，所以对"127.0.0.1|dir"进行了解析，但是也造成了命令注入的风险。

3.小结

• 使用 cmd /c:

  • 适合执行包含多个命令、管道、重定向等复杂命令的情况。

  • 所有在命令行中可用的功能和语法都可以使用。

  • 需要防范命令注入，需对输入参数进行过滤

• 不使用 cmd /c:

  • 只适合执行简单的原生命令。

  • 不能利用命令解释器的特性，如管道和其他命令的结合。

  • 经个人简单测试，命令注入失败。

六、总结

本文浅显探索了Java中命令执行漏洞的相应代码和产生原理，另发现，看底层代码的具体实现逻辑还是挺有意思的！

参考

• 网络安全：Java代码审计实战
• Java代码审计（入门篇）