内存马攻击

最新推荐文章于 2024-07-22 14:34:27 发布
最新推荐文章于 2024-07-22 14:34:27 发布
阅读量1.2k 收藏 6
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Finlinlts/article/details/119989783
版权
本文介绍了Webshell内存马,一种无文件的内存攻击手段,它通过在内存中执行恶意代码来控制Web服务器。针对Java Web应用,详细讨论了addFilter型和addServlet型的实现方式,并提及了无需上传文件的利用方法,如Shiro RememberMe 1.2.4漏洞。这些攻击方式因无文件落地而增加了检测难度。
摘要由CSDN通过智能技术生成

概述

Webshell内存马,是在内存中写入恶意后门和木马并执行,达到远程控制Web服务器的一类内存马,其瞄准了企业的对外窗口:网站、应用。但传统的Webshell都是基于文件类型的,黑客可以利用上传工具或网站漏洞植入木马,区别在于Webshell内存马是无文件马,利用中间件的进程执行某些恶意代码,不会有文件落地,给检测带来巨大难度。
以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode,就可以达到我们的目的。

需要上传文件

addFilter型

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.io.IOException"%>
<%@ page import="javax.servlet.DispatcherType"%>
<%@ page import="javax.servlet.Filter"%>
<%@ page import="javax.servlet.FilterChain"%>
<%@ page import="javax.servlet.FilterConfig"%>
<%@ page import="javax.servlet.FilterRegistration"%>
<%@ page import="javax.servlet.ServletContext"%>
<%@ page import="javax.servlet.ServletException"%>
<%@ page import="javax.servlet.ServletRequest"%>
<%@ page import="javax.servlet.ServletResponse"%>
<%@ page import="javax.servlet.annotation.WebServlet"%>
<%@ page import="javax.servlet.http.HttpServlet"%>
<%@ page import="javax.servlet.http.HttpServletRequest"%>
<%@ page import="javax.servlet.http.HttpServletResponse"%>
<%@ page import="org.apache.catalina.core.ApplicationContext"%>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig"%>
<%@ page import="org.apache.catalina.core.Standard
最低0.47元/天 解锁文章
Finlinlts
关注
内存Webshell详解
悦分享
11-08 4669
内存webshell相比于常规webshell更容易躲避传统安全监测设备的检测,通常被用来做持久化,规避检测,持续驻留目标服务器。无文件攻击内存Webshell、进程注入等基于内存攻击手段也受到了大多数攻击者青睐。内存是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到。因此内存近年来越来越被重视,逐渐成为了攻击方的“必备武器”,针对内存的防护也越来越被重视。
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3281
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
深入研究Tomcat内存攻击技术
hackzkaq的博客
11-16 300
Tomcat内存(Tomcat Memory Shell)是一种利用Apache Tomcat服务器的漏洞,将恶意代注入Tomcat进程的内存中的攻击技术ServletContextListener:用于监听整个 Servlet 上下文(创建、销毁)ServletContextAttributeListener:对 Servlet 上下文属性进行监听(增删改属性)ServletRequestListener:对 Request 请求进行监听(创建、销毁)
内存检测排查手段_内存查杀
最新发布
2401_84215240的博客
07-22 1745
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
Java内存分配原理
weixin_33872566的博客
09-09 394
一般Java在内存分配时会涉及到以下区域: ◆寄存器:我们在程序中无法控制 ◆栈:存放基本类型的数据和对象的引用,但对象本身不存放在栈中,而是存放在堆中 ◆堆:存放用new产生的数据 ◆静态域:存放在对象中用static定义的静态成员 ◆常量池:存放常量 ◆非RAM存储:硬盘等永久存储空间 Java内存分配中的栈 在函数中定义的一些基本类型的变量数据和对象的引用变量都在函数的栈内...
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
内存攻击
weixin_30249203的博客
03-18 179
内存攻击 攻击 在典型的缓存区溢出攻击中,攻击者会将一个精心设计的数据集植入线程的堆栈中,造成为其分配的缓存区溢出,并覆盖其他数据结构。攻击者尝 试覆盖的结构包括异常处理程序记录或函数的返回地址,以便将代流更改为他们在内存中选择的位置。 保护 内存保护技术为阻止攻击者实现其目标提供了第一道防线。这些技术旨在提高漏洞攻击的难度。该技术的...
内存介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 1049
先判断是通过什么方法注入的内存,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
S06-tomcat之servlet内存1
08-03
为了实现内存攻击,我们可以模拟 addServlet 方法的实现机制,Inject 一个自定义的 Servlet 组件到 Tomcat 中。首先,我们需要创建一个自定义的 Servlet 组件,然后使用反射机制加载该组件,并将其添加到 Context ...
中间件内存注入&冰蝎连接(附更改部分代)1
08-03
中间件内存注入是一种利用软件漏洞在服务器内存中植入恶意代的技术,常见于攻击者对Web应用程序的安全渗透。本文主要探讨了如何在冰蝎(Icesword)源基础上增加对JSP的内存注入支持,并分析了相关原理,同时...
内存映射型内核级木的研究与改进
12-19
内存映射型内核级木的研究与改进.pdf
常见植入技术大剖析
12-22
首先介绍了木的定义,概括了木的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木的结构和功能。随后,从缓冲区溢出、网站挂、电子邮件、QQ传播等方面介绍了木的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木的隐藏技术,最后展望了木技术的发展趋势。
用 Goby 通过反序列化漏洞一键打入内存【利用篇】
m0_46699477的博客
01-16 1161
Goby 使用者无需任何配置,就可以一键打入内存
Java漏洞之:内存攻击
2401_83384536的博客
04-09 1003
在上一小节Java原生远程进程注入中,我的POC里是通过反射创建了一个sun.tools.attach.VirtualMachineImpl类,然后再去调用类里面的enqueue这个Native方法。这时可能会有同学有疑惑,这个Native方法位于attach.dll,这个dll是JDK和Server-JRE默认自带的,但是这个sun.tools.attach.VirtualMachineImpl类所在的tools.jar包并不是每个JDK环境都有的。这个技术岂不是要依赖tools.jar?
linux内存,警惕更多 Linux木的到来
weixin_29009081的博客
04-30 245
习惯了没有恶意软件骚扰的桌面Linux用户该长长心了,RSA一位研究员详细介绍了Hand of Thief木的存在,该病毒瞄准的就是Linux。网络情报专家Limor Kessem表示,Hand of Thief的行为与攻击Windows机器的恶意软件相似,就算用户使用HTTPS,一旦安装Hand of Thief,就能从Web窃取信息,创建一个后门程序访问指向受感染的机器,并尝试阻挡对反病毒更...
浅析JavaWeb内存基础原理与查杀思路
道阻且长,行则将至。
04-04 4724
传统的 Webshell 后门很容易被当前 WAF、HIDS、EDR 等安全设备检测出来,于是无文件落地的内存技术得以诞生并快速发展。本文简要分析了Java内存的原理、分类,并实践了主流Webshell客户端管理工具内存的使用与当前应对内存的一些查杀思路、手段。
【Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 1888
内存原理 、实战与查杀
SpringMVC与Fastjson内存利用详解
在2021年8月5日的安全客网站上发布的文章中,作者详细分析了如何利用这种组合进行内存攻击。他们使用了SpringBoot来快速搭建环境,并且选择了JDK 8u131版本以及Fastjson 1.2.47版本,因为这些版本可能存在已知的易...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值