写在前面
今天开始细说一下内存马相关的知识点了,我打算成立一个专辑,详细讲讲各种内存马的原理,构造,和检测方,同样包括一下tricks。
这篇是专辑的第一篇,详解了Tomcat下的Filter内存马。
前置
什么是内存马
什么是内存马呢?
内存马又名无文件马,在文件马越来越不好生存的今天,各种基于机器学习的下webshell检测让得文件马更加雪上加霜,于此同时,新的一种技术内存马愈演愈烈,但是简简单单的内存马构造技术似乎也不能够逃脱被检测查杀的风险,我们更加需要迫切的学习内存马底层的相关知识,去掉webshell特征,达到花样绕过检测机制的目的。
回归正题,来到Filter内存马的构造学习。
在Servlet来到了3.0的时代,能够动态的通过ServletContext
进行注册是我们构造Filter的前提。
什么是Filter
Servlet Filter 又称 Servlet 过滤器,它是在 Servlet 2.3 规范中定义的,能够对 Servlet 容器传给 Web 资源的
request 对象和 response 对象进行检查和修改。
Filter 不是 Servlet,不能直接访问,它本身也不能生成 request 对象和 response 对象,它只能为 Web 资源提供以下过滤功能:
-
在 Web 资源被访问前,检查 request 对象,修改请求头和请求正文,或对请求进行预处理操作。
-
将请求传递到下一个过滤器或目标资源。
-
在 Web 资源被访问后,检查 response 对象,修改响应头和响应正文。
而他的工作流程可以通过一张图进行展示。
自然而然的,如果我们能够实现写入一个自定义的Filter在在访问特定资源的同时,拦截请求,对请求进行自定义Filter中的逻辑进行调用,就能够造成我们的恶意用途,达到了内存马的目的。
也可以来看看Filter的生命周期。
-
初始化阶段
-
拦截和过滤阶段
-
销毁阶段
简单的Filter示例
需要注册/映射Filter有两种方式:
通过 web.xml 配置
通过 @WebFilter 注解配置
我们这里采用了web.xml配置。
首先撰写一个实现了javax.servlet.Filter
接口的类Demo
。
package pers.webshell.Tomcat;
import javax.servlet.*;
import java.io.IOException;
public class Demo implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("init.....");
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("doFilter....");
filterChain.doFilter(servletRequest, servletResponse);
}
@Override
public void destroy() {
System.out.println("destroy...");
}
}
之后再在web.xml中配置。
<filter>
<filter-name>myFilter</filter-name>
<filter-class>pers.webshell.Tomcat.Demo</filter-class>
</filter>
<filter-mapping>
<filter-name>myFilter</filter-name>
<url-pattern>/filter</url-pattern>
</filter-mapping>
这样就搭建了一个/filter
路由的拦截器,在访问该路由的时候将会被拦截,运行tomcat容器。
可以发现成功拦截了。
分析Filter调用过程
我们在我们编写的类中的doFilter
方法中打下断点,在访问路由的同时,将会调用doFilter路由,在到达路由前存在一些操作,查看一下调用栈吧。
doFilter:15, Demo (pers.webshell.Tomcat)
internalDoFilter:193, ApplicationFilterChain (org.apache.catalina.core)
doFilter:166, ApplicationFilterChain (org.apache.catalina.core)
doFilter:71, Log4jServletFilter (org.apache.logging.log4j.web)
internalDoFilter:193, ApplicationFilterChain (org.apache.catalina.core)
doFilter:166, ApplicationFilterChain (org.apache.catalina.core)
invoke:196, StandardWrapperValve (org.apache.catalina.core)
invoke:97, StandardContextValve (org.apache.catalina.core)
invoke:542, AuthenticatorBase (org.apache.catalina.authenticator)
invoke:135, StandardHostValve (org.apache.catalina.core)
invoke:81, ErrorReportValve (org.apache.catalina.valves)
invoke:698, AbstractAccessLogValve (org.apache.catalina.valves)
invoke:78, StandardEngineValve (org.apache.catalina.core)
service:364, CoyoteAdapter (org.apache.catalina.connector)
service:624, Http11Processor (org.apache.coyote.http11)
process:65, AbstractProcessorLight (org.apache.coyote)
process:831, AbstractProtocol$ConnectionHandler (org.apache.coyote)
doRun:1673, NioEndpoint$SocketProcessor (org.apache.tomcat.util.net)
run:49, SocketProcessorBase (org.apache.tomcat.util.net)
runWorker:1191, ThreadPoolExecutor (org.apache.tomcat.util.threads)
run:659, ThreadPoolExecutor$Worker (org.apache.tomcat.util.threads)
run:61, TaskThread$WrappingRunnable (org.apache.tomcat.util.threads)
run:748, Thread (java.lang)