Java审计之命令执行篇
0x00 前言
在Java中能执行命令的类其实并不多,不像php那样各种的命令执行函数。在Java中目前所知的能执行命令的类也就两种,分别是Runtime和 ProcessBuilder类。
0x01 Runtime 执行命令分析
关于Runtime具体的使用可以看这篇文章,反射去调用Runtime。
@WebServlet("/execServlet")
public class execServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doGet(request, response);
}
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String exec = request.getParameter("exec");
Process res = Runtime.getRuntime().exec(exec);
InputStream inputStream = res.getInputStream();
ServletOutputStream outputStream = response.getOutputStream();
int len;
byte[] bytes = new byte[1024];
while ((len = inputStream.read(bytes))!=-1){
outputStream.write(bytes,0,len);
}
这里来运行一下,传入一个命令看看能不能正常运行。
http://localhost:8080/untitled9_war_exploded/execServlet?exec=ipconfig
我们来看看他具体的实现,首先跟踪一下getRuntime()方法。
看到调用方法就不做任何的处理就直接返回了currentRuntime对象,上面可以看到currentRuntime是Runtime的实例对象。也就是说每次调用getRuntime()方法都会new一个Runtime的对象。
官方文档说明:
每个Java应用程序都有一个Runtime类的Runtime ,允许应用程序与运行应用程序的环境进行接口。 当前运行时可以从getRuntime方法获得。
应用程序无法创建自己的此类的实例。
再来跟踪一下exec方法,看看exec方法的具体实现
exec中有多个重载方法,在跟踪返回值的exec
还是他的重载方法,再跟踪
这里会发现不一样了,返回了
return new ProcessBuilder(cmdarray)
.environment(envp)
.directory(dir)
.start();
在跟踪的时候会发现,我们传入的ipconfig会在cmdarray变量里面进行传入,其他值都是null。也就是说该类的底层其实还是ProcessBuilder这个类来进行实现的。
前面的Process res = Runtime.getRuntime().exec(exec);返回类型为 Process,是通过new ProcessBuilder并传入命令,再去调用start方法返回得来的。
但我们后面的res.getInputStream();,getInputStream();是怎么来的呢?Process 是一个抽象类,包含了6个抽象方法。
abstract public OutputStream getOutputStream();
abstract public InputStream getInputStream();
abstract public InputStream getErrorStream();
abstract public int waitFor() throws InterruptedException;
abstract public int exitValue();
abstract public void destroy();
跟踪一下,这几个方法,调用的方法,除了start方法外,其他的几个方法都是进行设置值。这里就不一一演示了。
return new ProcessBuilder(cmdarray)
.environment(envp)
.directory(dir)
.start();
跟踪start方法
可以看到start方法里面,调用了process的实现类。
0x02 ProcessBuilder中命令执行
package com.test;
import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.InputStream;
@WebServlet("/exec2Servlet")
public class exec2Servlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
}
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String exec = request.getParameter("exec");
ServletOutputStream outputStream = response.getOutputStream();
ProcessBuilder processBuilder = new ProcessBuilder(exec);
Process res = processBuilder.start();
InputStream inputStream = res.getInputStream();
int len ;
byte[] bytes =new byte[1024];
while ((len = inputStream.read(bytes))!=-1){
outputStream.write(bytes,0,len);
}
}
}
使用ProcessBuilder的方式也是可以执行命令的。
0x03 内容补充
后面专门开一个标题,做一个前面知识的补充。
Process类
Process类方法:
destroy()
杀掉子进程。
exitValue()
返回子进程的出口值。
InputStream getErrorStream()
获得子进程的错误流。
InputStream getInputStream()
获得子进程的输入流。
OutputStream getOutputStream()
获得子进程的输出流。
waitFor()
导致当前线程等待,如果必要,一直要等到由该 Process 对象表示的进程已经终止。
前面会发现的一个问题在这里做一个解疑,process既然是抽象类,不能new对象,获取到他的实例类的呢?
前面我们调试代码的时候,发现了可以使用ProcessBuilder的Start方法进行返回,第二种方法就是Runtime的exec方法,但Runtime的exec方法底层依然是ProcessBuilder的Start方法进行实现的。
这里还有必要说的一个问题,ProcessBuilder与Runtime.exec()的区别是什么?
在网上查阅了一些思路得出了以下的结论。
ProcessBuilder.start() 和 Runtime.exec() 方法都被用来创建一个操作系统进程(执行命令行操作),并返回 Process 子类的一个实例,该实例可用来控制进程状态并获得相关信息。
ProcessBuilder.start() 和 Runtime.exec()传递的参数有所不同,Runtime.exec()可接受一个单独的字符串,这个字符串是通过空格来分隔可执行命令程序和参数的;也可以接受字符串数组参数。而ProcessBuilder的构造函数是一个字符串列表或者数组。列表中第一个参数是可执行命令程序,其他的是命令行执行是需要的参数。
参考文章
https://honeypps.com/java/process-builder-quick-start/
0x04 结尾
在遇到一些问题的时候,多打debug也是个不错的选择,多打debug能比较清晰的分析到问题所在。例如调试代码的时候,可以打个debug一层层去分析也会发现一些有意思的东西。