内存马的错误参数获取，导致接口失效。

前言

java Listener 类型内存马，在使用request.getParameter(String name); 获取请求参数去判断是否是恶意请求的时候，会影响某些框架无法接收到参数。

例子

在Jersey 框架 使用 MultivaluedMap 去接收参数。正常情况下是能够接收到参数，但在Listener 类型内存马使用request.getParameter(String name)去获取参数后，就无法读取到参数。

环境搭建

本地环境：SpringBoot MVC + Jersey RESTApi

搭建接口

@Path("/")
public class JerseyMultiValueMapController {
    @POST
    @Path("/demo")
    @Consumes("application/x-www-form-urlencoded")
    public Response demo(MultivaluedMap<String, String> formData) {
        formData.forEach((key, value) -> System.out.println("Key: " + key + ", Value: " + value));
        String result = "Processed data";
        return Response.ok(result).build();
    }
}

注意：引用javax.ws.*包

做请求：

我们正常请求能得到相关的请求数据：

内存马注入

在外面注入内存马后（这里采用 北辰的 Listener 的内存马 https://github.com/BeichenDream/GodzillaMemoryShellProject ）：

添加 request.jsp 页面，做请求后就能添加 Listener 类型的内存马

这里在原本的无参构造函数有过修改，让其调用addListener()函数。每次请求该页面都会生成一个内存马。

检测内存马

这里采用 https://github.com/zzhorc/tomcat_memshell_scanner0.2 内存马检测工具，这里实测无法杀死上面的内存马，进行简单修改：

将 deleteListener 函数修改为如下：

public synchronized void deleteListener(HttpServletRequest request, String listenerName) {
    try{
        List<Object> arrayList_listeners = getListenerList(request);
        for (int i = 0; i < arrayList_listeners.size();) {
            if(arrayList_listeners.get(i).getClass().getName().equals(listenerName)){
                arrayList_listeners.remove(i);
                continue;
            }
            i++;
        }
    }catch (Exception e){
        e.printStackTrace();
    }
}

下面是注入内存马检测出的界面，这里可以检测出是否注入成功。这里杀内存马十分暴力，只要是该类的就全杀。

注入内存马后的请求

做请求：

接收到的请求

可以看到同样的请求，这里没有接收到请求参数。

通过不断调试，定点到内存马出现问题的函数：

在run函数下面的 getParameter函数的使用，这跟request.getParameter 一致，只是这里使用反射调用。

原理

经过不断调试发现，request.getParameter 和 Jersey 去实例化参数都会从 CoyoteInputStream 数据流读取数据（只能读取一次数据），去实例化请求参数。

当内存马 调用 getParameter 就会先读取 CoyoteInputStream 中的数据，导致 Jersey 去实例化请求参数无法读取到参数。

定位函数：

request.getParameter 定位到 org.apache.catalina.connector.Request#readPostBodyFully

Jersey 定位到 org.glassfish.jersey.message.internal.ReaderWriter#readFromAsString

request.getParameter 这里可以看到 this.getStream() 是 CoyoteInputStream ：

Jersey ：

通过调试可以看到两者是读取同一个 CoyoteInputStream 。

解决方案

在这里使用的 request.getParameter 判断参数是否能拿到期望的参数名导致的。

我们只需要用其他方式即可，例如uri、User-Agent 等即可。

总结

在内存马中若调用 request.getParameter 实例化参数，比某些框架先去实例化参数，会导致某些接口失效。
解决方案: 可以对uri进行过滤处理。