【干货】Servlet内存马加载流程分析

前言

Servlet内存马的最后一篇，和之前的分析其实差不太多，基础知识就不进行了，这篇文章就直接从加载开始说起，废话不多说直接开始吧。

一、Servlet流程分析

（一）StrandContext.startInternal方法

首先我们需要先了解一下Tomcat的加载流程，这里借用师傅的一张图。

image.png

我们通过上图Tomcat的启动流程可以得知，首先我们启动到StandardHost就会去启动StrandContext，我们和之前内存马的分析一样，我们从Contextconfig类加载配置文件开始分析，我们打好断点，然后开始查看栈信息。

image.png

跟进上图的栈信息，我们可以看到StandardHost之后就会走到StrandContext，我们跟到StrandContext进行查看。可以看到我们此时执行的是StandardContext. startInternal()，根据栈的信息，我们在this.fireLifecycleEvent 位置正在解析web.xml并启动StandardWrapper。我们继续往下看代码。

image.png

startInternal()方法在最后依次调用了listenerStart、filterStart、loadOnStartup方法，我们跟到loadOnStartup方法进行查看。

image.png

这里我们首先对children进行了一个变量，大概猜测children应该是存储servlet的变量。接下来做了一个迭代，执行了wrapper.load()对其进行加载。我们这里其实就是我们加载wrapper的地方。

image.png image.png

【一>所有资源获取<一】
1、网络安全学习路线
2、电子书籍（白帽子）
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

（二）ContextConfig读取配置文件

到这里我们已经跟到了StandardContext加载Wrapper的位置，最关键的参数其实就是children，所以我们回到刚才ContextConfig的位置继续进行分析。首先ContextConfig读取web.xml配置文件，我们跟到configureContext()方法查看代码，首先读取到servlet后进行迭代。

image.png

接下来执行createWrapper方法创建了一个wrapper。继续向下

image.png

接下来设置了一个ServletName和ServletClass（这里其实对应的就是web.xml中的servlet），继续向下

image.png

（三）addChild启动wrapper线程

读取到Servlet配置之后，执行了addChild(wrapper)方法，我们跟进addChild()方法进行查看。

image.png

我们跳到了StandardContext.addChild()，其实servlet的添加就是在这里面进行的。我们继续跟进去简单看一下吧。

image.png

我们走到了ContainerBase.addChild()，这个类其实是一个骨架类，这里我们需要注意两个位置，一个是我们将wrapper添加到了ContainerBase的children变量中，另一个是我们最后执行到了child.start()，我们继续向下查看。

image.png

我们跳到了LifecycleBase，这个类主要是和Tomcat的生命周期有关，我们跟到this. startInternal()进行查看。

image.png

此时我们通过LifecycleBase走到了StandardWrapper.startInternal()，查看该方法其实这里本质就是调用父类的startInternal() 线程池启动。我们点击去稍微看一下super.startInternal()进行查看

image.png

我们又走到了ContainerBase.startInternal()，方法最后启动了线程。

image.png

我们执行完addChild()方法后，我们回到了ContextConfig类，继续向下查看，可以看到此时执行了webxml.getServletMappings().entrySet().iterator()，其实这里的本质是就是读取servler-mapping。

image.png

我们跟到addServletMappingDecoded()方法，跳到了StandardContext. addServletMappingDecoded()方法下，首先将servlet-name和url-pattern添加到servletMappings下，然后通过findChild方法，找到我们之前启动的wrapper（读取之前存储到ContainerBase的children变量），我们跟进查看wrapper.addMapping()方法。

image.png image.png

我们走到了StandardWrapper.addMapping方法。将mapping（也就是url-pattern）添加到mappings变量下。

image.png

二、Servlet内存马实现

其实看到这里应该能明白添加servlet最关键的地方就是这个两个方法，所以我们接下来内存马的编写就需要一个恶意的servlet，然后通过addChind和addServletMappingDecoded将其恶意servlet注入进去。

image.png image.png

最终成功实现内存马。

image.png image.png

结尾~~~

文章里面有什么写的不对的地方，望师傅们多加指正。Servlet型内存马算是写完了，个人觉得Servlet内存马是这三个里面最难的，因为调试的时候栈里面来回的绕，有时候跳着跳着就乱了，文章里面可能有些地方有写的不对的地方，希望师傅们多加指正。