Tomcat进程注入技术复现教程<\/h1>

技术原理概述<\/h2>
Tomcat进程注入技术基于Java SE5引入的Java Instrumentation功能，该功能允许使用独立于应用程序之外的代理程序来监测和协助JVM运行时的状态，包括替换和修改类定义等操作。本教程将详细介绍如何利用GitHub上rebeyond的memShell工程实现Tomcat进程注入。<\/p>

技术关键点<\/h2>

目标实现<\/h3>

访问Web服务器上的任意URL（无论是否存在）<\/li>
无论请求的是静态资源、jsp文件、原生servlet还是struts action<\/li>

只要请求传递给Tomcat，就能响应我们的指令<\/li> <\/ul>

关键类选择<\/h3>

选择org.apache.catalina.core.ApplicationFilterChain<\/code>类的internalDoFilter<\/code>方法作为注入点，原因如下：<\/p>


位于HTTP请求调用栈的上层<\/li>
不与具体URL耦合<\/li>
能接受客户端request中的数据<\/li>
<\/ol>
方法分析<\/h3>
internalDoFilter<\/code>方法原型：<\/p>
private<\/span> void<\/span> internalDoFilter<\/span>(<\/span>ServletRequest request,<\/span> ServletResponse response)<\/span>
<\/span><\/span>    throws<\/span> IOException,<\/span> ServletException {}<\/span>
<\/span><\/span><\/code><\/pre>该方法特点：<\/p>

包含ServletRequest和ServletResponse参数，封装了用户请求的request和response<\/li>
是自定义filter的入口点<\/li>
包含安全相关的处理逻辑<\/li>
<\/ul>
复现环境搭建<\/h2>
1. Java环境搭建<\/h3>
步骤：<\/strong><\/p>

从Oracle官网下载Linux版JDK<\/li>
解压到\/usr\/local目录<\/li>
配置环境变量：
vi \/etc\/profile
<\/span><\/span><\/code><\/pre>添加以下内容：
export JAVA_HOME=<\/span>\/usr\/local\/jdk1.8.0_261
<\/span><\/span>export JRE_HOME=<\/span>${<\/span>JAVA_HOME}<\/span>\/jre
<\/span><\/span>export CLASSPATH=<\/span>.:${<\/span>JAVA_HOME}<\/span>\/lib:${<\/span>JRE_HOME}<\/span>\/lib
<\/span><\/span>export PATH=<\/span>.:${<\/span>JAVA_HOME}<\/span>\/bin:$PATH
<\/span><\/span><\/code><\/pre><\/li>
使配置生效：
source \/etc\/profile
<\/span><\/span><\/code><\/pre><\/li>
验证安装：
java -version
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2. Tomcat安装配置<\/h3>
步骤：<\/strong><\/p>

从官网下载Tomcat 9<\/li>
解压到\/usr\/local目录并重命名：
tar zxvf apache-tomcat-9.0.38
<\/span><\/span>sudo mv apache-tomcat-9.0.38 tomcat9
<\/span><\/span><\/code><\/pre><\/li>
配置Tomcat以非root用户运行：
cd \/usr\/local\/tomcat9\/bin
<\/span><\/span>tar zxvf commons-daemon-native.tar.gz
<\/span><\/span>cd commons-daemon-1.2.2-native-src\/unix\/
<\/span><\/span>.\/configure
<\/span><\/span>make
<\/span><\/span>cp jsvc ..\/..
<\/span><\/span><\/code><\/pre><\/li>
创建专用用户：
sudo adduser tomcat
<\/span><\/span><\/code><\/pre><\/li>
设置权限：
sudo chown -R tomcat:tomcat \/usr\/local\/tomcat9
<\/span><\/span><\/code><\/pre><\/li>
启动Tomcat：
su tomcat
<\/span><\/span>.\/daemon.sh start
<\/span><\/span><\/code><\/pre><\/li>
验证安装：访问http:\/\/127.0.0.1:8080<\/code><\/li>
<\/ol>
内存注入实施<\/h2>
使用memShell工程<\/h3>
步骤：<\/strong><\/p>

将memShell工程文件上传到Tomcat服务器<\/li>
执行注入命令：
java -jar inject.jar pppd
<\/span><\/span><\/code><\/pre>(其中pppd为自定义密码)<\/li>
<\/ol>
验证注入<\/h3>
访问任意URL并附加参数：<\/p>
http:\/\/[target]\/anyurl?pass_the_word=pppd
<\/code><\/pre>
可用命令示例：<\/strong><\/p>

whoami<\/code> - 获取当前用户名<\/li>
其他功能参考返回的帮助信息<\/li>
<\/ul>
技术扩展<\/h2>


该技术不仅限于Tomcat，理论上适用于：<\/p>

JBOSS<\/li>
WebLogic<\/li>
其他Java Web容器<\/li>
<\/ul>
<\/li>

差异点主要在于"定位关键类"的步骤<\/p>
<\/li>

可通过修改源代码实现更多功能<\/p>
<\/li>
<\/ol>
安全建议<\/h2>

定期更新Java和Tomcat版本<\/li>
监控JVM中加载的代理程序<\/li>
限制对JMX端口的访问<\/li>
使用安全管理器限制敏感操作<\/li>
<\/ol>
参考资源<\/h2>

利用"进程注入"实现无文件复活WebShell<\/a><\/li>
Ubuntu下配置Tomcat以指定(非root)身份运行<\/a><\/li>
GitHub上的memShell工程<\/li>
<\/ol>
后记<\/h2>
本教程详细介绍了Tomcat进程注入技术的原理和实现方法，重点在于理解Java Instrumentation机制和Tomcat处理请求的流程。该技术展示了Java Web应用潜在的安全风险，安全人员应充分了解此类技术以便更好地防御。<\/p>

Tomcat进程注入技术复现教程<\/h1>

技术关键点<\/h2>

复现环境搭建<\/h2>

内存注入实施<\/h2>

后记<\/h2> 本教程详细介绍了Tomcat进程注入技术的原理和实现方法，重点在于理解Java Instrumentation机制和Tomcat处理请求的流程。该技术展示了Java Web应用潜在的安全风险，安全人员应充分了解此类技术以便更好地防御。<\/p>

后记<\/h2>
本教程详细介绍了Tomcat进程注入技术的原理和实现方法，重点在于理解Java Instrumentation机制和Tomcat处理请求的流程。该技术展示了Java Web应用潜在的安全风险，安全人员应充分了解此类技术以便更好地防御。<\/p>