深入浅出内存马

原创 已于 2023-07-18 13:24:53 修改 · 618 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tomcat #网络安全 #中间件

于 2023-07-17 07:45:19 首次发布

本文的技术是21年前的,我自己学习的输出笔记。如果你没学过,可以跟着我的思路来,但我更想表达的是我学习这个东西的思路,就是我是怎么学习的,这个比内容更重要。
谈不上精通,还有好多没写,但是已经不是当下的重点研究了,可以以Tomcat的学习研究为魔板套用到任何一个组件的漏洞挖掘上。
全文写作没有跟着任何一个其他别人文章的思路来的,我是从头到尾自己分析的,图也是自己画的,我只是拿着以前的代码,然后去调试,因为可以看懂源码和Tomcat内的运行逻辑,然后以拿到的代码为基础,延伸出一些自己的思考。我学习Tomcat大概用了一周,学习内存马并写文章用了一周。
如果想全面的去学习内存马可以去看https://xz.aliyun.com/t/11003#toc-10

要想真正明白内存马,必须要先熟悉Tomcat,为此我特意从头到尾刷了一遍《Tomcat深入分析》对Tomcat结构有了一个比较详细的了解。
我用大白话和图片给你讲解一下学习研究内存马或者看源码需要知道Tomcat中的哪些东西。
几个重要的组件
connector,container,service,server
还有几个有助于理解源码的组件
pipeline,valve

1.container和pipeline/valve

首先我们要理解Tomcat是由容器(Container)组成,从外到里分别逐层嵌套,Engine容器,Host容器,Context容器,Wrapper容器。一个Engine容器可以有多个虚拟主机容器(Host容器),一个主机(Host容器)可以有多个应用(Context容器),一个应用要有多个连接请求(Wrapper容器)。上面四个种容器都是Container的实现。
通常情况下上层容器与下层容器之间关系为父子容器,Host没有父容器,Wrapper没有子容器。
Tomcat提供给我们默认的类分别叫做StandardEngine,StandardHost, StandardContext, StandardWrapper。
pipeline是什么呢,中文名字是流水线,每个容器都有自己的pipeline,代表一个完成任务的管道。流水线上面有很多任务,具体任务是什么呢?就是Valve,中文名字是阀。其中Pipeline和Valve都是接口,对于Pipeline有一个标准实现StandardPipeline。对于Valve不同的容器有它自己的实现,比如StandardWrapper容器实现的StandardWrapperValve

20230712145709-51ecee82-2081-1.png
我们通过StandardWrapper举个例子,见下文

StandardWrapper

StandardWrapper 对象的主要职责是:加载它表示的 servlet 并分配它的一个实例。该 Standardwrapper 不会调用 servlet 的 service 方法。这个任务留给StandardWrapperValve 对象,在 StandardWrapper 实例的基本阀门管道。StandardVrapperValve 对象通过调用 StandardWrapper的 allocate 方法获得Servlet 实例。在获得 Servlet 实例之后的 StandardwrapperValve 调用 servlet的 service 方法。

下面代码中关注:构造函数,类成员,allocate方法,loadService方法

public class StandardWrapper extends ContainerBase
    implements ServletConfig, Wrapper, NotificationEmitter {
   
   
    // 构造函数,我们的pipeline中加入基本的阀,每个pipeline中必须有一个基本阀
    public StandardWrapper() {
   
   
        super();
        swValve=new StandardWrapperValve();
        pipeline.setBasic(swValve);
        broadcaster = new NotificationBroadcasterSupport();
    }
    // servlet类
    protected volatile Servlet instance = null;

    // 映射
    protected final ArrayList<String> mappings = new ArrayList<>();

    // 阀
    protected StandardWrapperValve swValve;

    @Override
    public Servlet allocate() throws ServletException {
   
   
		// ...
        boolean newInstance = false;

        // If not SingleThreadedModel, return the same instance every time
		// 这里涉及多线程访问servlet的问题,我们不关心
        if (!singleThreadModel) {
   
   
            // Load and initialize our instance if necessary
            if (instance == null || !instanceInitialized) {
   
   
                synchronized (this) {
   
   
                    if (instance == null) {
   
   
                        try {
   
   
					// 获取servlet
                            instance = loadServlet();
                            newInstance = true;
                        } catch (ServletException e) {
   
   
                            throw e;
                        }
                    }
                    if (!instanceInitialized) {
   
   
				// 初始化servlet
                        initServlet(instance);
                    }
                }
            }
//  省略有关instancePool的代码,类似于线程池,复用servlet
            return instancePool.pop();
        }
    }


    public synchronized Servlet loadServlet() throws ServletException {
   
   
        Servlet servlet;
        try {
   
   
            InstanceManager instanceManager = ((StandardContext)getParent()).getInstanceManager();
            try {
   
   
                servlet = (Servlet) instanceManager.newInstance(servletClass);
            } catch (ClassCastException e) {
   
   
				//...
			}
			initServlet(servlet);
			// 事件通知机制,背后有listener监听
            fireContainerEvent("load", this);
			return servlet;
    }
}

我们再看看StandardWrapperValve,主要关注invoke方法中的servlet获取,过滤链的创建和调用

final class StandardWrapperValve extends ValveBase {
   
   
    @Override
    public final void invoke(Request request, Response response)
        throws IOException, ServletException {
   
   

        boolean unavailable = false;
        requestCount.incrementAndGet(); //请求数量
        StandardWrapper wrapper = (StandardWrapper) getContainer(); // 获取wrapper
        Servlet servlet = null; // servlet
        Context context = (Context) wrapper.getParent(); // wrapper父容器,代表一个应用

		// 检查application是否可用
		// 检查servlet是否可用
		//...

		// 分配一个servlet实例来处理request请求
        try {
   
   
            if (!unavailable) {
   
   
                servlet = wrapper.allocate(); // 上文我们分析的allocate方法
            }
        } catch (Exception e) {
   
   
			// ...
		}

		// 设置一些属性
        // ...
        // 为请求创建一个过滤链
        ApplicationFilterChain filterChain =
                ApplicationFilterFactory.createFilterChain(request, wrapper, servlet);

        Container container = this.container;
        try {
   
   
            if ((servlet != null) && (filterChain != null)) {
   
   
                if (context.getSwallowOutput()) {
   
   
					// 不重要
                } else {
   
   
                    if (request.isAsyncDispatching()) {
   
   
                        request.getAsyncContextInternal().doInternalDispatch();
                    } else {
   
   
						// 执行过滤链逻辑
						// 执行过程中也会嗲用servlet的service方法
                        filterChain.doFilter
                            (request.getRequest(), response.getResponse());
                    }
                }

            }
        } catch (ClientAbortException | CloseNowException e) {
   
   
			// ... 一些异常
        } finally {
   
   
		    // ... 释放资源,重置时间
        }
    }
}

StandardWRapper的主要作用就是加载创建Servlet实例,以及一些关于Servlet的setter,getter方法
20230712155437-59780d46-2089-1.png

到目前为止我们捋顺一下逻辑
20230712154404-e0217d48-2087-1.png
注意一下,最开始的StandardWrapper.getPipeline().getFirst().invoke(request, response);是上层Context任务的调用,毕竟要完成一个任务需要调用子任务。

如果不是很清晰的话,就看下代码,注意最下面的代码部分

final class StandardContextValve extends ValveBase {
   
   
	    @Override
    public final void invoke(Request request, Response response)
        throws IOException, ServletException {
   
   
		// .....
		// 注意这里
        wrapper.getPipeline().getFirst().invoke(request, response);
    }
}

重复这种模式,container->pipeline->valve->container->pipeline->valve,看一下实际的调用栈
20230712154831-7f30e158-2088-1.png
ok,我们再最后具体了解一下剩下的几个容器的作用,然后回到最上层的Connector

Context/Host/Engine

Context

一个应用程序有自己的资源,类加载器,管理器。所以StandardContext也要有这些内容

public class StandardContext extends ContainerBase
        implements Context, NotificationEmitter {
   
   
    public StandardContext() {
   
   

        super();
        pipeline.setBasic(new StandardContextValve());
        broadcaster = new NotificationBroadcasterSupport();
        // Set defaults
        if (!Globals.STRICT_SERVLET_COMPLIANCE) {
   
   
            // Strict servlet compliance requires all extension mapped servlets
            // to be checked against welcome files
            resourceOnlyServlets.add("jsp");
        }
		// 监听器
		private String applicationListeners[] = new String[0];
		private List<Object> applicationEventListenersList = new CopyOnWriteArrayList<>();
		// 初始化器
		private Map<ServletContainerInitializer,Set<Class<?>>> initializers = new LinkedHashMap<>();
		// ServletContext的标准实现,表示web应用程序的执行环境。这个类的一个实例与StandardContext的每个实例相关联。
		protected ApplicationContext context = null;
		// 过滤器配置
		private Map<String, ApplicationFilterConfig> filterConfigs = new HashMap<>();
		// 过滤器的定义信息
		private Map<String, FilterDef> filterDefs = new HashMap<>();
		// 类加载器
		private Loader loader = null;
		// 管理器
		protected Manager manager = null;
		// 资源
		private NamingResourcesImpl namingResources = null;
		// 访问参数
		private final Map<String, String> parameters = new ConcurrentHashMap<>();
		// ....等
    }
    @Override
    protected synchronized void startInternal() throws LifecycleException {
   
   
		// 该方法启动所有的线程
		namingResources.start();
		resourcesStart();
		((Lifecycle) loader).start();
		((Lifecycle) realm).start();
		// 启动子容器
		 for (Container child : findChildren()) {
   
   
			if (!child.getState().isAvailable()) {
   
   
				child.start();
			}
		}
		((Lifecycle) pipeline).start();
		((Lifecycle) manager).start();
	}
}

然后它还有一些后台线程热部署资源的东西,可以不用停机重新打包,自动更新资源

Host

主机就是一些路径处理,部署处理等等

Engine

引擎代表整个catalina的引擎

2.Server/Service

org.apache.catalina.Server代表catalina服务,其中有端口地址,开关服务,还可以添加很多service,有global资源,类加载器等等

最低0.47元/天 解锁文章
小健健健
关注
深入浅出Shiro WebSocket内存.pdf
07-02
"深入浅出Shiro WebSocket内存" WebSocket 是一种基于 TCP 的网络协议,实现了浏览器与服务器的全双工通讯,允许服务器主动发起信息个客户端。它是一种持久协议,相比于 HTTP 协议是一种无状态的、无连接的、...
深入浅出Android软件开发教程
06-04
由于提供的文件内容中并未实际包含有关“深入浅出Android软件开发教程”的教学内容,而是重复出现了“墨图书专营店”这一无关信息,因此无法从中提取知识点。但是,我可以基于这个标题“深入浅出Android软件开发...
小谈java内存
shihui的博客
03-08 1109
省流版Servlet 内存:通过动态注册恶意 Servlet 并绑定 URL 路由,当访问特定路径时触发恶意逻辑。Filter 内存:通过动态注册恶意 Filter 并配置路由,拦截请求时触发恶意逻辑。Listener 内存:通过动态注册恶意 Listener,当特定事件发生时(如应用启动、会话创建)触发恶意逻辑。
内存
weixin_41335734的博客
08-07 496
内存是一种恶意软件,它利用计算机系统中的内存漏洞,将恶意代码注入到目标机器的内存中,并利用该代码执行各种攻击操作。以下是关于内存的详细解析:一、定义与特点定义:内存是一种只在内存中运行,没有文件落地或者运行后能够删除自身的木。它利用内存中的漏洞和机制,隐藏自己并执行恶意操作。特点:无文件落地:内存不会在磁盘上留下...
内存检测排查手段
最新发布
lza20001103的博客
09-03 930
内存检测排查手段
Servlet内存
angry_program的博客
07-08 3049
1. 何谓内存? 以Tomcat为例,内存主要利用了Tomcat的部分组件会在内存中长期驻留的特性,只要将我们的恶意组件注入其中,就可以一直生效,直到容器重启。 Java内存shell有很多种,大致分为: 1. 动态注册filter 2. 动态注册servlet 3. 动态注册listener 4. 基于Java agent拦截修改关键类字节码实现内存shell 该文主要研究Servlet内存的原理和实现。 2. 何为Servlet? Tomcat 服务器是一个免费的开放源代
一文了解内存
闵行小鱼塘
10-24 4652
随着攻防对抗的博弈愈发激烈,流量分析、EDR等专业安全设备被防守方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到,webshell终于进入内存时代,其关键在于无文件,利用中间件的进程执行恶意代码。本文试图进行一个学习,尽可能搞明白其来龙去脉
学习了解内存,看这篇就够了!(精华版)
热门推荐
MachineGunJoe666
06-21 1万+
目录 介绍: 一、内存简介 1.1 webshell变迁 1.2 如何实现webshell内存 1.3 内存类型 二、背景知识 2.1 Java web三大件 2.2Tomcat 2.3 其他java背景知识 三、内存实现 四、内存检测与排查 4.1源码检测 4.2 内存排查 介绍: 内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到..
深入浅出内存(一)
风炫的博客
07-12 1581
深入浅出内存(一) 0x01 简述 0x0101 Webshell技术历程 在Web安全领域,Webshell一直是一个非常重要且热门的话题。在目前传统安全领域,Webshell根据功能的不同分为三种类型,分别是:一句话木,小,大。而根据现在防火墙技术的更新迭代,随后出现了加密的木技术,比如:加密一句话。而我们今天要说的是一种新的无文件的Webshell类型:内存。 0x0102 为什么会使用内存? 传统Webshell连接方式,都是先通过某种漏洞将恶意的脚本木文件上传,然后通过中国菜刀,或
深入浅出人工智能(第2版)》之“什么是人工智能?”
清图出版
07-30 4472
1.1 什么是人工智能 “人工智能”这一术语常常使人为之一振!这其中有个原因,就是我们对智能 的迷恋。似乎正是这一点,让我们人类在所有生命形式中有了一个特殊的位置。那 么,如下问题就随之而来!什么是智能?如何测量智能?人脑是如何工作的?这些 问题对于理解什么是人工智能意义非凡!但是,对于工程师,特别是计算机科学家, 中心问题则是智能机器如何能有人一样的行为?如何在行为中体现出智能? 人工智能的人工属性可能会唤醒我们的各种联想。比如,它给我们带来对智能 机器人的恐惧,它让我们回忆起科幻小说中的景象,它使我们思
学习了解内存,看这篇就够了!(精华版)_什么是内存
yy1715713348的博客
03-23 3085
内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到了几百家参演单位,内存也越来越多的被提起,逐渐成为了攻击方的“必备武器”,针对内存的防护也越来越被重视。内存是无文件攻击的一种技术手段,那我们不得不先简单介绍一下无文件攻击。
CVE-2022-22947-Spring-Cloud-Gateway 内存POC
03-29
1.漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。 2.影响版本 3.1.0 3.0.0至3.0.6 Spring Cloud Gateway 其他已不再更新的版本
内存概念
weixin_42786460的博客
10-27 451
内存概念
关于Java/Python/PHP 内存
2301_80115097的博客
11-15 1470
因为内存种类繁杂,每次都要翻看很多文章,又加上最近有某个大活动,因此就写了这篇文章来总结一下常见的3种语言(PHP、Python、JAVA)的内存的注入方法和查杀方法,并尝试自己完成一个内存查杀工具的实现。希望本篇文章能给师傅们带来一些启发。文章一长就难免在表达和准确性上有所疏漏,如有错误或不足,请师傅们指正。
手搓Filter内存从构造到利用讲解(内存系列篇一)
顶峰
03-06 1249
今天开始细说一下内存相关的知识点了,我打算成立一个专辑,详细讲讲各种内存的原理,构造,和检测方,同样包括一下tricks。这篇是专辑的第一篇,详解了Tomcat下的Filter内存。什么是内存呢?
Java内存简单实现
派大星的博客
12-04 2838
Java内存
内存分析总结
qq_38618396的博客
04-13 1913
文章目录TomcatTomcat环境搭建Servlet-API型Listener内存Filter内存Servlet内存Valve内存字节码增强型SpingSpring环境搭建拦截器Controller型 Tomcat Tomcat环境搭建 Servlet-API型 Listener内存 Filter内存 Servlet内存 Valve内存 字节码增强型 Sping Spring环境搭建 拦截器 Controller型 ......
【Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 3529
内存原理 、实战与查杀
文件内存
weixin_43172311的博客
08-25 418
文件内存
深入浅出Java编程示例解析
以上是从标题"HeadFirstJavaExample"、描述"HeadFirstJava示例"、标签"Java"以及压缩包子文件的文件名称列表"HeadFirstJavaExample-main"中提取出的Java编程语言的核心知识点,涵盖了Java的基本概念、语法、面向对象...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值