Tomcat内存马的rce漏洞利用

         今日探讨内存马有关的内容,无意间发觉某处解析漏洞,一段话来讲便是:Tomcat启动的时候会载入lib下的依靠jar,假如hack运用上传漏洞或是反序列化漏洞在这个文件目录加上1个jar,重新启动后,一点状况下这一jar会被当做正常情况下库来载入,在相应前提下造成RCE。未必称得上是漏洞,但是我还是向Tomcat发过邮件试着,Tomcat果真拒绝了,缘故是须要在别的漏洞的基础上开启。

outputo-20211203-092042-541-llfn.png

这一漏洞实际上在一点状况下会出现恰当的运用,这篇文章就紧紧围绕这一运用点来谈。构思来自于以前写的篇文章:某著名Java架构内存马发掘,从这当中获得1种构思:将网页木马逻辑性掩藏到目标架构需要的Filter中,换言之来讲,是不是能将网页木马注入到Tomcat默认设置存有的Filter中呢。应用c0ny1师傅的测试工具发觉,其他状况都是会存有WsFilter能不能构建出1个恶意的WsFilter类注入到依靠库中。

在目标Tomcat/lib下寻找jetty-websocket.jar寻找WsFilter的源代码,在doFilter中插进一点源代码,我这里是简洁明了的回显运行命令,还可以是一点别的逻辑性.暂且是没法开启的,但是假如程序代码加上新的作用或是特殊情况,必定会重新启动(实际上服务器端的Tomcat重新启动几率算不上低,许多状况都是会重新启动)重新启动后会载入恶意的jetty-websocket.jar文件,此刻早已完成了顽固的内存马。

攻击方可以刻舟求剑隔三差五试着下/xxx.jsp?命令提示符=whoami看结论,要是有结论表明有重新启动,载入了恶意jar历经检测,发觉.等状况也会造成这类问题,但是暂时没有做深层次的探讨,如下图,进一步放在审计时,见到FilterName和FilterClass全部都是Tomcat内置的,FilterClassFile坐落于Tomcat/lib下的,是没什么问题的面多诸多的Filter和Servlet状况下,难以会想起是WsFilter出的问题.

分享: