原生的Java自带命令执行

1、Runtime.exec
一个标准的Runtime.exec的代码demo

  1. import java.io.*;
  3. public class Main {
  4.     public static void main(String[] arg) throws IOException {
  5.         String command="cmd /c  whoami";
  6.         Process proc = Runtime.getRuntime().exec(command);
  7.         InputStream in = proc.getInputStream();
  8.         BufferedReader br = new BufferedReader(new InputStreamReader(in, "UTF8"));
  9.         String line = null;
  10.         while((line=br.readLine())!=null) {
  11.             System.out.println(line);
  12.         }
  13.     }
  14. }

其中exec存在两种方式的传参,分别为字符串和数组

  1. 数组形式
  2.     String[] command={"cmd","/c"," whoami|dir"};
  3.     Runtime.getRuntime().exec(cmommand);
  4.     Runtime.getRuntime().exec(new String[]{"cmd", "/c", "whoami"});
  6. 也可以直接字符串形式
  7.     String command="cmd /c whoami|dir";
  8.     Runtime.getRuntime().exec(cmommand);

Runtime.exec的底层是调用了ProccessBuilder.start。

2、ProccessBuilder.start

  1. ProcessBuilder pb = new ProcessBuilder("whoami");
  2. pb.start();

3、ProcessImpl
Runtime和ProcessBuilder执行命令实际上调用了也是ProcessImpl类
可以通过反射调用来进行命令执行

  1. Class clazz = Class.forName("java.lang.ProcessImpl");
  2. Method method = clazz.getDeclaredMethod("start", String[].class, Map.class, String.class, Redirect[].class, boolean.class);
  3. method.setAccessible(true);
  4. Process e = (Process) method.invoke(null, new String[]{"calc"}, null, ".", null, true);

https://xz.aliyun.com/t/6503

值得注意的反射命令执行

image.png
image.png
我们可以看到图一是一个使用反射普通调用了addCommand,然后str为传入的参数,假设这个反射类的Servlet
CommandServlet,那么如果没有进行严格对类进行控制的话,我们就可以调用Java.lang.Runtime.exec来执行任意命令。

如下代码显示,可以看到非常明显的Java反射调用类,传入参数执行命令。

  1. import java.lang.reflect.Constructor;
  2. import java.lang.reflect.Method;
  3. import java.util.*;
  4. import java.io.*;
  6. public class exec {
  7.     public static void main(String args[]) {
  8.         try {
  9.            String name="java.lang.Runtime";
  10.            String method="exec";
  11.            String str="calc";
  12.            Class getCommandClass = Class.forName(name);
  13.            Constructor constructor = getCommandClass.getDeclaredConstructor();
  14.             constructor.setAccessible(true);
  15.             Object getInstance = constructor.newInstance();
  16.             // 获取类⽅法
  17.             Method getCommandMethod = getCommandClass.getDeclaredMethod(method, String.class);
  18.             getCommandMethod.setAccessible(true);
  19.             // 调⽤类⽅法
  20.             Object mes = getCommandMethod.invoke(getInstance, str);
  21.         } catch (Throwable t) {
  22.             t.printStackTrace();
  23.         }
  24.     }
  25. }

如何修复呢,严格设置权限即可
例如把强制反射给删了就好了。
constructor.setAccessible(true);

EL表达式

EL表达式之前学过了

第三方组件

最终也是需要一个runtime或者processbuild等Java原始命令执行命令

JS第三方执行命令

可执行js
Java-ScriptEngineManager

groovy第三方执行命令

需要groovy-all的pom.xml依赖包
groovyshell.evaluate
我们在平时代码审计里遇到的话就找这个POM或者相关的jar就好了,这个遇到的不多

模板渲染SSTI

https://www.yuque.com/iceqaq/rtn9q7/ramqal