Java Tomcat内存马——filter内存马

已于 2022-11-26 09:28:09 修改
阅读量575 收藏 1
点赞数
分类专栏: Java安全代码审计分析 文章标签: java servlet web安全 安全威胁分析 网络攻击模型
于 2022-11-17 12:33:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/127865133
版权

目录

前言:

(一) 内存马简介

0X01 原理

0X02 内存马类型

2.1  servlet-api类

2.2  spring类

2.3 Java Instrumentation类

(二) filter 内存马

(三)Tomcat Filter 流程分析

0x01 项目搭建

0x02 在访问 /filter 之后的流程分析

 小结:

0x03 在访问 /filter 之前的流程分析

 总结调用过程

小结一下分析流程

(四)Filter 型内存马攻击思路分析

4.1 里面有三个和Filter有关的成员变量:

 它有三个重要的东西:

构造思路

(五) Filter 型内存马的实现

Filter 型内存马 EXP

完整EXP:

(六)排查 Java 内存马的几个方法

0x01 arthas

0x02 copagent

0x03 java-memshell-scanner

参考资料

(一) 内存马简介

内存马是无文件Webshell,就是服务器上不会存在需要链接的Webshell脚本文件。

0X01 原理

  • 利用Java Web组件:动态添加恶意组件,如Servlet、Filter、Listener等。在Spring框架下就是Controller、Intercepter。
  • 修改字节码:利用Java的Instrument机制,动态注入Agent,在Java内存中动态修改字节码,在HTTP请求执行路径中的类中添加恶意代码,可以实现根据请求的参数执行任意代码。

0X02 内存马类型

目前安全行业主要讨论的内存马主要分为以下几种方式:

2.1  servlet-api类

  • filter型
  • list
了解本专栏 订阅专栏 解锁全文 超级会员免费看
@Camelus
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
应急响应—JAVA内存风险处置
admin的博客
05-17 193
内存技术作为一种无文件攻击、内存Webshell、进程注入等基于内存的攻击手段,其最大的特点就是在攻击过程中不产生任何文件落地,从而极大地提高了其隐蔽性和逃避性。这使得内存能够在目标系统中持续潜伏,实时监控、搜集、篡改信息,而且难以被现有的防御措施所发现。
tomcat允许跨域——java-property-utils-1.10.jar、cors-filter-2.10.jar
05-15
1)将java-property-utils-1.10.jar、cors-filter-2.10.jar放置于tomcat安装目录下的lib文件夹;2)编辑conf目录下的web.xml,设置filter; 3)重启tomcat
深入浅出内存(一)
风炫的博客
07-12 1319
深入浅出内存(一) 0x01 简述 0x0101 Webshell技术历程 在Web安全领域,Webshell一直是一个非常重要且热门的话题。在目前传统安全领域,Webshell根据功能的不同分为三种类型,分别是:一句话木,小,大。而根据现在防火墙技术的更新迭代,随后出现了加密的木技术,比如:加密一句话。而我们今天要说的是一种新的无文件的Webshell类型:内存。 0x0102 为什么会使用内存? 传统Webshell连接方式,都是先通过某种漏洞将恶意的脚本木文件上传,然后通过中国菜刀,或
应急响应篇】内存应急响应指南
最新发布
大河之犬的博客
04-16 661
Spring MVC 的拦截器(Interceptor)与 Java Servlet 的过滤器(Filter)类似,它主要用于拦截用户的请求并做相应的处理,通常应用在权限验证、记录请求信息的日志、判断用户是否登录等功能上。copagent 使用 javaagent 技术获得了全部的类,判断其包名、实现类名、接口名、注解来提取关键类,并根据类是否在磁盘上有资源链接对象、类中是否包含恶意行为关键字来判断其是否为内存。使用时先访问恶意的jsp动态注册Servlet,之后访问对应路径的Servlet命令执行。
应急响应-163后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
wuqingsix的博客
02-14 488
可能的后门存在:启动项,隐藏用户,映像劫持(打开记事本操作成为了打开计算器-修改了注册表指向),屏保,登录(只要有人登录就会启动后门)rootkit后门:(后门为内核级-抓包工具是抓不到后门流量的 -普通抓包工具权限不够-小伙子把握不住)常规msf: 查看进程:netstat -anpt,找到可疑进程并kill掉即可。java两款调试工具--可以在内存注入后就能看到相关信息(产生的类...)常规msf后门-权限维持后门 ++分析检测。2,内存(无文件)--河内存查杀工具。
第163天:应急响应-后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
qq_46081990的博客
07-06 676
1、对于系统层面的后门:对于常规MSF后门,其一般会有网络外连的情况,可使用火绒剑、PCHunter工具查看网络,针对网络外连的进行逐一排查对于权限维持后门,比如自启动、映像劫持,在火绒剑、PCHunter里也有对应的栏目,也可逐一排查1.2、linux对于常规MSF后门,其一般会有网络外连的情况,可使用命令:netstat -anpt 针对网络外连的进行逐一排查对于Rootkit、权限维持后门,可使用工具GScan、rkhunter进行排查2、对于Web层面的后门:2.1、普通Web后门。
应急响应】网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
今天是几号的博客
03-14 2001
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存。aspx内存查杀项目:ASP.NET-Memshell-Scanner-master。在日志里进行搜索,那些ip访问了gsl.aspx等后门文件。被注入内存之后,使用gsl可以直接连接任何路径"后门"火绒,管家,X60,Defender,Nod32等。5、在线webshell查杀-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南。
Java笔试题————精华中的精华
01-15
同时,深入理解Java内存模型、垃圾回收机制、线程并发编程、异常处理、集合框架(List、Set、Map等)以及IO流等核心特性也至关重要。 Oracle是广泛使用的数据库系统,Java开发人员需要熟悉SQL语句的编写,包括...
how tomcat works——(5)容器
05-29
Tomcat作为一个流行的开源Java Servlet容器,它的内部架构设计是理解其高效运行的关键。本篇将详细介绍Tomcat的容器机制及其在Tomcat中的角色。 一、容器的概念 在Tomcat中,容器是一个抽象的概念,它负责管理一组...
tomcat同源限制解决包
03-14
标题 "tomcat同源限制解决包" 涉及到的是在Web开发中常见的安全策略——同源策略(Same-Origin Policy)以及如何在Tomcat服务器上处理跨域请求的问题。同源策略是浏览器为了保护用户数据安全而实施的一项重要机制,...
MLDN——Java Web 开发实战经典源码笔记(基础篇)|
08-06
《MLDN——Java Web开发实战经典源码笔记(基础篇)》是一本专注于Java Web开发的实战教程,旨在帮助读者从零开始掌握Web应用的开发技术。这本书通过深入浅出的讲解和丰富的实例代码,全面介绍了Java Web开发的基础...
Tomcat Java内存 Filter
qq_40710190的博客
07-20 266
针对Tomcat Filter内存
干货|冰蝎、哥斯拉 内存应急排查
m0_60571990的博客
12-29 7485
干货|冰蝎、哥斯拉 内存应急排查
应急响应 -162天:webshell和内存查杀
wuqingsix的博客
02-14 888
如:利用此系统中间件等爆出的通用漏洞,利用安全知识进行模拟攻击,了解外来攻击的方法。应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为。应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为。获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)如:翻日志 确定攻击时间,请求方式,请求地址,ip。背景交代:某公司在某个时间发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。
应急响应全栈
qq_29437513的博客
07-25 2491
应急响应全栈
Tomcat内存
Christ1na的博客
03-03 578
Tomcat内存主要分为三种,分别是Filter型、Servlet型和Listener型,其原理是动态的将恶意组件添加到正在运行的Tomcat服务器中。
Tomcat Filter类型内存与查杀技术学习
wangluoanquan111的博客
08-04 1021
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
php内存的流量特征
07-13
PHP内存是一种恶意程序,它利用PHP脚本执行的漏洞在服务器上运行,并用于非法操作,比如发送垃圾邮件、DDoS攻击等。由于内存的目的是隐藏在正常的服务器流量中,因此其流量特征可能会与正常的服务器流量相似,但仍存在一些可以用来检测内存的流量特征,包括: 1. 非常规的网络通信:内存可能通过非常规的网络通信方式与控制服务器进行通信,如使用非标准端口、自定义协议等。检测这种非常规的网络通信可以帮助发现内存。 2. 高流量率:内存通常会生成大量的网络流量,以执行其恶意操作。因此,监控服务器的流量率,特别是不寻常的高流量率,可能是内存的流量特征之一。 3. 异常的数据传输量:内存通常会传输大量的数据,如下载恶意文件、上传敏感数据等。监控服务器的数据传输量,并检测异常的数据传输量,可能是发现内存的一种方式。 4. 非正常的网络连接:内存可能会建立与其他服务器或恶意控制服务器的非正常网络连接。监控服务器的网络连接,并检测不寻常的、与已知恶意服务器的连接可能是内存的流量特征之一。 请注意,这些只是一些可能的流量特征,不能保证能够完全检测到所有的内存。要有效地检测和防范内存,建议采取安全措施,如定期更新和审核代码、使用安全的服务器配置、监控服务器流量和日志等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值