Java代码审计之命令执行漏洞详解<\/h1>

0x01 漏洞简介<\/h2>

在Java代码审计中，命令执行漏洞指应用程序未对用户输入进行严格过滤，直接将外部可控参数拼接到系统命令中执行，导致攻击者可注入恶意命令并获取服务器控制权。<\/p>

核心原理<\/strong>：<\/p>

开发者误用危险函数执行系统命令时，未对用户输入的参数进行安全校验或转义<\/li>
用户可通过构造特殊字符(如管道符 |<\/code>、命令分隔符 ;<\/code>)或参数注入(如 ${}<\/code> 表达式)将恶意指令与原始命令拼接<\/li>
该漏洞常出现在参数动态拼接的场景，且受操作系统特性影响<\/li> <\/ul> 操作系统特性影响<\/h3> Windows系统命令注入表<\/strong>：<\/p> &<\/code> - 命令分隔符<\/li> &&<\/code> - 前一个命令成功时执行后一个命令<\/li> |<\/code> - 管道符<\/li> ||<\/code> - 前一个命令失败时执行后一个命令<\/li> %0a<\/code> - 换行符<\/li> %0d<\/code> - 回车符<\/li> ^<\/code> - 转义字符<\/li> <\/ul> Linux系统命令注入表<\/strong>：<\/p> ;<\/code> - 命令分隔符<\/li> &&<\/code> - 前一个命令成功时执行后一个命令<\/li> |<\/code> - 管道符<\/li> ||<\/code> - 前一个命令失败时执行后一个命令<\/li> $()<\/code> - 命令替换<\/li> ` `<\/code> - 反引号命令替换<\/li> \n<\/code> - 换行符<\/li> \r<\/code> - 回车符<\/li> <\/ul> 0x02 Java命令执行方法<\/h2> 2.1 Runtime.exec()<\/h3> Runtime.exec()<\/code> 是Java中执行系统命令的核心方法，提供多种重载形式，本质是启动子进程执行外部命令。直接拼接用户输入会导致命令注入漏洞，需使用参数数组形式并严格校验输入。<\/p> 方法重载形式<\/strong>：<\/p> \/\/ 方法1: 直接执行字符串命令 <\/span><\/span><\/span><\/span>Process exec<\/span>(<\/span>String command);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 方法2: 通过字符串数组传递命令和参数 <\/span><\/span><\/span><\/span>Process exec<\/span>(<\/span>String[]<\/span> cmdarray);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 方法3: 指定环境变量执行字符串命令 <\/span><\/span><\/span><\/span>Process exec<\/span>(<\/span>String command,<\/span> String[]<\/span> envp);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 方法4: 通过数组传递命令并自定义环境变量 <\/span><\/span><\/span><\/span>Process exec<\/span>(<\/span>String[]<\/span> cmdarray,<\/span> String[]<\/span> envp);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 方法5: 指定环境变量和工作目录执行字符串命令 <\/span><\/span><\/span><\/span>Process exec<\/span>(<\/span>String command,<\/span> String[]<\/span> envp,<\/span> File dir);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 方法6: 通过数组传递命令，并指定环境变量、工作目录 <\/span><\/span><\/span><\/span>Process exec<\/span>(<\/span>String[]<\/span> cmdarray,<\/span> String[]<\/span> envp,<\/span> File dir);<\/span> <\/span><\/span><\/code><\/pre>执行差异分析<\/strong>：<\/p> exec(String)<\/code> 与 exec(String[])<\/code> 的区别：<\/p> exec(String)<\/code> 会将传入的命令字符串通过 StringTokenizer<\/code> 进行分割，按照默认的空白分隔符(包括空格、制表符\t<\/code>、换行符\n<\/code>、回车符\r<\/code>和换页符\f<\/code>)进行分割<\/li> exec(String[])<\/code> 则直接使用传入的数组作为命令参数<\/li> <\/ul> <\/li> 漏洞利用差异：<\/p> exec(String)<\/code> 中使用 &<\/code> 拼接命令会异常，因为命令被错误分割<\/li> exec(String[])<\/code> 中使用 &<\/code> 拼接命令可以成功执行，因为整个字符串会被Shell解析<\/li> <\/ul> <\/li> exec(String)<\/code> 的漏洞利用方法：<\/p> 可以利用Shell的解析逻辑实现命令注入，直接拼接 cmd \/c<\/code> 即可<\/li> <\/ul> <\/li> <\/ol> 2.2 ProcessBuilder<\/h3> ProcessBuilder<\/code> 命令执行漏洞的核心在于通过 ProcessBuilder<\/code> 类直接构造并执行系统命令时，若未对用户输入参数进行严格过滤或拆分，攻击者可注入恶意命令实现任意代码执行。<\/p> 特点<\/strong>：<\/p> ProcessBuilder<\/code> 不支持以字符串形式传入命令，只能拆分成List或者数组的形式传入<\/li> 底层实现最终通过调用 ProcessImpl.start()<\/code> 完成操作系统级别的进程创建<\/li> <\/ul> 2.3 ProcessImpl<\/h3> ProcessImpl<\/code> 是Java中 Process<\/code> 抽象类的具体实现类，其设计目的是为 ProcessBuilder.start()<\/code> 方法提供底层支持，用于创建和管理操作系统进程。<\/p> 特点<\/strong>：<\/p> ProcessImpl<\/code> 的构造函数被声明为 private<\/code>，无法直接通过 new<\/code> 实例化<\/li> 开发者通常需通过 ProcessBuilder<\/code> 或 Runtime.exec()<\/code> 间接调用其功能<\/li> 若需直接操作 ProcessImpl<\/code>，必须通过反射技术绕过访问限制<\/li> <\/ul> 反射调用示例<\/strong>：<\/p> package<\/span> com.xmsec.controller.rce;<\/span> <\/span><\/span> <\/span><\/span>import<\/span> java.lang.reflect.InvocationTargetException;<\/span> <\/span><\/span>import<\/span> java.lang.reflect.Method;<\/span> <\/span><\/span>import<\/span> java.util.Map;<\/span> <\/span><\/span> <\/span><\/span>public<\/span> class<\/span> ProcessImplExamples<\/span> {<\/span> <\/span><\/span> public<\/span> static<\/span> void<\/span> main<\/span>(<\/span>String[]<\/span> args)<\/span> throws<\/span> ClassNotFoundException,<\/span> NoSuchMethodException,<\/span> InvocationTargetException,<\/span> IllegalAccessException {<\/span> <\/span><\/span> String[]<\/span> cmdarray =<\/span> new<\/span> String[]{<\/span>"cmd"<\/span>,<\/span> "\/c"<\/span>,<\/span> "calc"<\/span>};<\/span> <\/span><\/span> Class clazz =<\/span> Class.<\/span>forName<\/span>(<\/span>"java.lang.ProcessImpl"<\/span>);<\/span> <\/span><\/span> Method method =<\/span> clazz.<\/span>getDeclaredMethod<\/span>(<\/span>"start"<\/span>,<\/span> String[].<\/span>class<\/span>,<\/span> Map.<\/span>class<\/span>,<\/span> String.<\/span>class<\/span>,<\/span> ProcessBuilder.<\/span>Redirect<\/span>[].<\/span>class<\/span>,<\/span> boolean<\/span>.<\/span>class<\/span>);<\/span> <\/span><\/span> method.<\/span>setAccessible<\/span>(<\/span>true<\/span>);<\/span> <\/span><\/span> Process p =<\/span> (<\/span>Process)<\/span> method.<\/span>invoke<\/span>(<\/span>null<\/span>,<\/span> cmdarray,<\/span> null<\/span>,<\/span> null<\/span>,<\/span> null<\/span>,<\/span> false<\/span>);<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>0x03 代码审计思路<\/h2> 核心思路是识别所有可能导致命令注入的代码路径，重点围绕"参数可控性"和"Shell调用方式"两个维度进行分析：<\/p> 1. 定位危险入口点<\/h3> 识别所有可能执行系统命令的代码位置：<\/p> Runtime.getRuntime().exec()<\/code><\/li> ProcessBuilder.start()<\/code><\/li> 反射调用 ProcessImpl<\/code>、UNIXProcess<\/code> 等底层类的方法<\/li> <\/ul> 审计技巧<\/strong>：<\/p> 使用IDE全局搜索关键词：exec(<\/code>、ProcessBuilder<\/code>、start(<\/code>、getRuntime()<\/code><\/li> 检查反射调用：搜索 Class.forName()<\/code>、Method.invoke()<\/code> 等代码块，确认是否操作危险类(如 ProcessImpl<\/code>)<\/li> <\/ul> 2. 分析参数来源<\/h3> 判断命令参数是否完全或部分可控：<\/p> HTTP请求参数(GET\/POST)、Headers、Cookies<\/li> 文件上传内容、数据库查询结果<\/li> 配置文件(如YAML\/Properties)中的动态值<\/li> 是否存在字符串拼接(如 "sh -c " + userInput<\/code>)<\/li> 是否通过 String.format()<\/code>、StringBuilder<\/code> 动态生成命令<\/li> <\/ul> 3. 验证调用方式与参数解析<\/h3> 确认是否通过Shell环境执行命令，以及参数解析是否安全：<\/p> Shell会解析命令中的特殊符号(如 ;<\/code>、&&<\/code>、$()<\/code>)，导致命令注入<\/li> 检查是否显式调用Shell，如使用 sh -c<\/code>、bash -c<\/code>、cmd.exe \/c<\/code> 等Shell解释器<\/li> 检查参数分割逻辑，如使用 exec(String command)<\/code> 传递单个字符串命令<\/li> 检查反射绕过，通过反射直接调用 ProcessImpl.start()<\/code>，绕过参数安全检查<\/li> <\/ul> 0x04 防御与修复<\/h2> 1. 避免执行系统命令<\/h3> 优先使用Java原生API替代直接执行系统命令。例如：<\/p> 删除文件使用 File.delete()<\/code> 而非 rm<\/code> 命令<\/li> 网络请求使用 HttpClient<\/code> 而非 curl<\/code> 命令<\/li> <\/ul> 这样可以规避命令注入风险，同时提升跨平台兼容性。<\/p> 2. 使用安全的命令执行方式<\/h3> 无法避免系统命令执行时，优先使用：<\/p> \/\/ 不安全的字符串拼接方式 <\/span><\/span><\/span><\/span>exec(<\/span>"cmd \/c "<\/span> +<\/span> userInput);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 安全的数组传参方式 <\/span><\/span><\/span><\/span>exec(<\/span>new<\/span> String[]{<\/span>"cmd"<\/span>,<\/span> "\/c"<\/span>,<\/span> fixedCommand});<\/span> <\/span><\/span><\/code><\/pre>3. 避免Shell调用<\/h3> 禁止通过 sh -c<\/code>、cmd.exe \/c<\/code> 等方式创建Shell环境，直接调用可执行文件路径：<\/p> \/\/ 不安全的Shell调用 <\/span><\/span><\/span><\/span>exec(<\/span>"sh -c ls "<\/span> +<\/span> dir);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 安全的直接调用 <\/span><\/span><\/span><\/span>exec(<\/span>new<\/span> String[]{<\/span>"\/bin\/ls"<\/span>,<\/span> dir});<\/span> <\/span><\/span><\/code><\/pre>4. 危险字符过滤<\/h3> 过滤 |<\/code>、&<\/code>、;<\/code>、$()<\/code> 等Shell元字符，以及路径遍历符号(..\/<\/code>)，可使用OWASP ESAPI等安全库进行编码处理：<\/p> String safeInput =<\/span> ESAPI.<\/span>encoder<\/span>().<\/span>encodeForOS<\/span>(<\/span>new<\/span> WindowsCodec(),<\/span> userInput);<\/span> <\/span><\/span><\/code><\/pre>5. 其他防御措施<\/h3> 实施最小权限原则，使用低权限账户执行命令<\/li> 对用户输入实施白名单验证<\/li> 对命令参数进行严格的类型和格式检查<\/li> 记录和监控命令执行操作<\/li> <\/ul> 总结<\/h2> Java命令执行漏洞是Web应用安全中的高风险漏洞，审计时需要重点关注命令执行函数的调用方式、参数来源和解析逻辑。通过使用安全的API调用方式、避免Shell调用、严格过滤用户输入等措施，可以有效防御此类漏洞。在代码审计过程中，应当全面检查所有可能的命令执行路径，确保没有可控参数能够注入恶意命令。<\/p>