内存马的错误参数获取,导致接口失效。
前言
java Listener 类型内存马,在使用request.getParameter(String name); 获取请求参数去判断是否是恶意请求的时候,会影响某些框架无法接收到参数。
例子
在Jersey 框架 使用 MultivaluedMap 去接收参数。正常情况下是能够接收到参数,但在Listener 类型内存马使用request.getParameter(String name)去获取参数后,就无法读取到参数。
环境搭建
本地环境:SpringBoot MVC + Jersey RESTApi
搭建接口
@Path("/")
public class JerseyMultiValueMapController {
@POST
@Path("/demo")
@Consumes("application/x-www-form-urlencoded")
public Response demo(MultivaluedMap<String, String> formData) {
formData.forEach((key, value) -> System.out.println("Key: " + key + ", Value: " + value));
String result = "Processed data";
return Response.ok(result).build();
}
}注意:引用javax.ws.*包
做请求:
我们正常请求能得到相关的请求数据:
内存马注入
在外面注入内存马后(这里采用 北辰的 Listener 的内存马 https://github.com/BeichenDream/GodzillaMemoryShellProject ):
添加 request.jsp 页面,做请求后就能添加 Listener 类型的内存马
这里在原本的无参构造函数有过修改,让其调用addListener()函数。每次请求该页面都会生成一个内存马。
检测内存马
这里采用 https://github.com/zzhorc/tomcat_memshell_scanner0.2 内存马检测工具,这里实测无法杀死上面的内存马,进行简单修改:
将 deleteListener 函数修改为如下:
public synchronized void deleteListener(HttpServletRequest request, String listenerName) {
try{
List<Object> arrayList_listeners = getListenerList(request);
for (int i = 0; i < arrayList_listeners.size();) {
if(arrayList_listeners.get(i).getClass().getName().equals(listenerName)){
arrayList_listeners.remove(i);
continue;
}
i++;
}
}catch (Exception e){
e.printStackTrace();
}
}下面是注入内存马检测出的界面,这里可以检测出是否注入成功。这里杀内存马十分暴力,只要是该类的就全杀。
注入内存马后的请求
做请求:
接收到的请求
可以看到同样的请求,这里没有接收到请求参数。
通过不断调试,定点到内存马出现问题的函数:
在run函数下面的 getParameter函数的使用,这跟request.getParameter 一致,只是这里使用反射调用。
原理
经过不断调试发现,request.getParameter 和 Jersey 去实例化参数都会从 CoyoteInputStream 数据流读取数据(只能读取一次数据),去实例化请求参数。
当内存马 调用 getParameter 就会先读取 CoyoteInputStream 中的数据,导致 Jersey 去实例化请求参数无法读取到参数。
定位函数:
request.getParameter 定位到 org.apache.catalina.connector.Request#readPostBodyFully
Jersey 定位到 org.glassfish.jersey.message.internal.ReaderWriter#readFromAsString
request.getParameter 这里可以看到 this.getStream() 是 CoyoteInputStream :
Jersey :
通过调试可以看到两者是读取同一个 CoyoteInputStream 。
解决方案
在这里使用的 request.getParameter 判断参数是否能拿到期望的参数名导致的。
我们只需要用其他方式即可,例如uri、User-Agent 等即可。
总结
在内存马中若调用 request.getParameter 实例化参数,比某些框架先去实例化参数,会导致某些接口失效。
解决方案: 可以对uri进行过滤处理。
