Java OS 命令注入学习笔记

- 6 mins

0x01 简介

0x02 注意点

首先要注意的是,通过 Java 来执行系统命令时,并不是通过 shell 来执行 (Linux下),因此如果需要用到如 pipeline (|)、;&&|| 等 shell 特性时,需要创建 shell 来执行命令,如:

/bin/sh -c "ls -lh; pwd"

具体可参考 https://alvinalexander.com/java/java-exec-system-command-pipeline-pipe

0x03 执行方式

ProcessBuilder

java.lang.ProcessBuilderstart() 方法可以执行系统命令,命令和参数可以通过构造方法的 String List 或 String 数组来传入

如执行 ls -lh /home/www 的例子

String[] cmdList = new String[]{"ls", "-lh", "/home/www"};
ProcessBuilder builder = new ProcessBuilder(cmdList);
builder.redirectErrorStream(true);
Process process = builder.start();

因为 Java 中执行命令不是通过 shell,若没有手动创建 shell 来执行命令,命令非完全可控时,正常的情况下是无法使用 ;&& 等来实现命令注入的,例如

命令的某个参数可控

// String dir = "xx";
String[] cmdList = new String[]{"ls", "-lh", dir};
ProcessBuilder builder = new ProcessBuilder(cmdList);
builder.redirectErrorStream(true);
Process process = builder.start();
printOutput(process.getInputStream());

dir 参数用户可控,如想通过传入 /home/www;id, 来执行 id 命令,是无法成功的,程序的输出为

ls: /home/www;id: No such file or directory

再看一个例子

// String cmd = "xx";
ProcessBuilder builder = new ProcessBuilder(cmd);
builder.redirectErrorStream(true);
Process process = builder.start();
printOutput(process.getInputStream());

cmd 参数用户可控,那是否就可以执行任意命令了呢?

答案是可执行没有参数的命令,如 lspwd,如执行 curl example.com 则会失败,会提示如下错误

java.io.IOException: Cannot run program "curl example.com": error=2, No such file or directory

原因为这里 cmd 的值表示的是执行命令的文件路径,因此无法使用参数

前面说到是在正常情况下,但一些特殊情况下,如果执行的命令的某个参数存在解析问题,即存在参数注入,也会导致命令执行,如 CVE-2018-3785CVE–2017–1000117

前面所说的是在非 shell 环境下执行命令的情况,那如果手动创建了 shell 来执行命令,则很有可能会存在命令注入,例如:

// String dir = "xxxx";
String[] cmdList = new String[]{"sh", "-c", "ls -lh " + dir};
ProcessBuilder builder = new ProcessBuilder(cmdList);
builder.redirectErrorStream(true);
Process process = builder.start();
printOutput(process.getInputStream());

dir 参数用户可控,如果传入如 && pwd,则可以成功执行 pwd 命令

再来看一种情况

String[] cmdList = new String[]{"sh", "-c", "echo test", dir};
ProcessBuilder builder = new ProcessBuilder(cmdList);
builder.redirectErrorStream(true);
Process process = builder.start();
printOutput(process.getInputStream());

这种情况下,dir 传入 pwd;pwd 都无法执行,因为只有 echo test 会作为 -c 选项的参数值

因此,在大多数情况下,要想通过 ProcessBuilder 来执行任意命令,需要代码中创建 shell 来执行命令,并且参数可控或存在拼接

Runtime

java.lang.Runtimeexec() 函数同样可以执行系统命令,命令参数支持 String 和 String 数组两种方式,同时支持设置环境变量、子进程工作目录 (working directory) 参数,具体方法包括:

这里来看一下 exec(String command) 函数,根据源码可知,其内部会调用 exec(String command, String[] envp, File dir),方法代码如下

public Process exec(String command, String[] envp, File dir)
        throws IOException {
        if (command.length() == 0)
            throw new IllegalArgumentException("Empty command");

        StringTokenizer st = new StringTokenizer(command);
        String[] cmdarray = new String[st.countTokens()];
        for (int i = 0; st.hasMoreTokens(); i++)
            cmdarray[i] = st.nextToken();
        return exec(cmdarray, envp, dir);
    }

可以看到,传入的字符串命令会先经过 StringTokenizer 进行处理,即使用分隔符,包括空格,\t\n\r\f 对字符串进行分隔后,再调用 exec(String[] cmdarray, String[] envp, File dir),代码如下

public Process exec(String[] cmdarray, String[] envp, File dir)
    throws IOException {
    return new ProcessBuilder(cmdarray)
        .environment(envp)
        .directory(dir)
        .start();
}

即最后是通过 ProcessBuilder 来执行的,那么如果直接调用参数为 String 数组的 exec() 函数,则和 ProcessBuilder 存在同样的问题

而直接传入 String 时,会先经过 StringTokenizer 的分隔处理,然后在使用 ProcessBuilder,因此这里需要弄清 StringTokenizer 是如何分割字符串命令的

先来看一下Runtime 执行系统命令的代码示例:

// String cmd = "xx";
Process process = Runtime.getRuntime().exec(cmd);
process.waitFor();
printOutput(process.getInputStream());
printOutput(process.getErrorStream());

cmd 输入和对应 StringTokenizer 分隔后的值

因此,简单总结一下:

0x04 修复方案

0x05 参考

b1ngz
comments powered by Disqus
rss facebook twitter github youtube mail spotify instagram linkedin google pinterest medium vimeo