内存马原理及查杀

最新推荐文章于 2025-03-11 09:34:31 发布
最新推荐文章于 2025-03-11 09:34:31 发布
阅读量1.7k 收藏 7
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63081418/article/details/132257602
版权

php内存马原理:

php内存马也就是php不死马是将不死马启动后删除本身,在内存中执行死循环,使管理员无法删除木马文件。

检测思路:

  1. 检查所有php进程处理请求的持续时间
  2. 检测执行文件是否在文件系统真实存在

代码:

set_time_limit(0);

ignore_user_abort(1);

unlink(FILE);

while (1) {

$content = ‘’;

file_put_contents("22.php", $content);

usleep(10000);

}

?>

函数说明:

  1. ignore_user_abort()函数:函数设置与客户机断开是否会终止脚本的执行,如果设置为 true,则忽略与用户的断开。
  2. set_time_limit()函数:设置允许脚本运行的时间,单位为秒。如果设置为0(零),没有时间方面的限制。
  3. unlink(__FILE__)函数:删除文件。
  4. file_put_contents函数:将一个字符串写入文件。
  5. usleep函数:延迟执行当前脚本若干微秒(一微秒等于一百万分之一秒)。

Python内存马原理:

    Python内存马利用flask框架中ssti注入来实现,flask框架中在web应用模板渲染的过程中用到render_template_string()进行渲染但未对用户传输的代码进行过滤导致用户可以通过注入恶意代码来实现python内存马的注入。

JAVA内存马

Filter Servlet Listener

  • Servlet:servlet是一种运行服务器端的java应用程序,具有独立于平台和协议的特性,并且可以动态的生成web页面,它工作在客户端请求与服务器响应的中间层。Servlet 的主要功能在于交互式地浏览和修改数据,生成动态 Web 内容
  • Filter:filter是一个可以复用的代码片段,可以用来转换HTTP请求、响应和头信息。Filter无法产生一个请求或者响应,它只能针对某一资源的请求或者响应进行修改。
  • Listener:通过listener可以监听web服务器中某一个执行动作,并根据其要求作出相应的响应。

 原理

其原理是先由客户端发起一个web请求,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存马利用请求过程在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode达到持久化的控制服务器。

排查思路:

先判断是通过什么方法注入的内存马,如果是jsp注入,日志中排查可疑jsp的访问请求,如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志(可能被关闭,不一定有),根据url最早访问时间确定被注入时间,如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者到大量请求不同url但带有相同的参数,或者页面不存在但返回值为200,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通 Webshell的流量特征基本吻合。

通过查找返回200的URL路径对比Web目录下是否真实存在文件,如不存在大概率为内存马。如在Web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使 用的组件排查是否可能存在Java代码执行漏洞以及是否存在过Webshell,排查框架漏洞,反序列化漏洞。

tomcat-memshell-scanner.jsp工具使用·

https://github.com/LandGrey/copagent/raw/release/cop.jar dump内存下载,遇到禁止注入到jvm就g

java -jar cop.jar

shell-analyzer使用 遇到禁止注入到jvm就gg

4ra1n/shell-analyzer: Java内存马查杀GUI工具,实时动态分析,支持本地和远程查杀 (github.com)

java -verbose 查看安装路径

启动java -cp remote-0.1.jar:/usr/lib/jvm/java-8-openjdk-i386/lib/tools.jar com.n1ar4.RemoteLoader 31488 admin123

jps

jpsid值 密码客户端:java -jar gui-0.1.jar

java -verbose

 

arthas-boot.jar 工具的使用 【高级】可以配合手工查杀出来,遇到禁止注入到jvm就gg

java -jar arthas-boot.jar

重启:重启之后,内存马就会掉,但是会一些技术,可以复活马,也就是重启之后,内存马依然会上线

 

O弱水o
关注
PHP内存技术研究与查杀方法总结
不忘初心,护天下安全!
06-28 1059
内存是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到,内存使用越来越多。 由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的传统的Webshell
内存介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 1277
先判断是通过什么方法注入的内存,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
在校自研内存查杀工具,非常实用
stopys6的博客
09-07 658
该工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
小谈java内存
shihui的博客
03-08 910
省流版Servlet 内存:通过动态注册恶意 Servlet 并绑定 URL 路由,当访问特定路径时触发恶意逻辑。Filter 内存:通过动态注册恶意 Filter 并配置路由,拦截请求时触发恶意逻辑。Listener 内存:通过动态注册恶意 Listener,当特定事件发生时(如应用启动、会话创建)触发恶意逻辑。
浅析JavaWeb内存基础原理查杀思路
道阻且长,行则将至
04-04 6177
传统的 Webshell 后门很容易被当前 WAF、HIDS、EDR 等安全设备检测出来,于是无文件落地的内存技术得以诞生并快速发展。本文简要分析了Java内存原理、分类,并实践了主流Webshell客户端管理工具内存的使用与当前应对内存的一些查杀思路、手段。
【网络安全】Agent内存的自动分析与查杀
2201_75857562的博客
02-06 579
接下来介绍做了些什么,能够实现怎样的效果不难看出,以上内存查杀手段都是半自动结合人工审核的方式,当检测出内存后检测(同时支持普通内存Java Agent内存的检测)分析(如何确定该类是内存,仅根据恶意类名和注解等信息不完善)查杀(当确定内存存在,如何自动地删除内存并恢复正常业务逻辑)大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍关于Dump字节码经过我的一些测试,使用sa-jdi库不能保证dump。
查杀内存工具
weixin_46211944的博客
09-23 618
查杀内存工具。
深入浅出内存(一)
风炫的博客
07-12 1486
深入浅出内存(一) 0x01 简述 0x0101 Webshell技术历程 在Web安全领域,Webshell一直是一个非常重要且热门的话题。在目前传统安全领域,Webshell根据功能的不同分为三种类型,分别是:一句话木,小,大。而根据现在防火墙技术的更新迭代,随后出现了加密的木技术,比如:加密一句话。而我们今天要说的是一种新的无文件的Webshell类型:内存。 0x0102 为什么会使用内存? 传统Webshell连接方式,都是先通过某种漏洞将恶意的脚本木文件上传,然后通过中国菜刀,或
网络安全-疱丁解-木查杀深度剖析
09-27
《庖丁解-木查杀深度剖析》围绕木查杀展开,为读者提供了全面且深入的知识。 一、基础概念与原理知识扫盲 介绍计算机基本组成,如 CPU、内存、磁盘等,以及程序、进程、自启动程序和注册表等概念,为...
应急--内存查杀演示(极简)
m0_58355451的博客
08-30 3944
由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的。以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode,就可以达到我们的目的。
java内存查杀工具
qq_44749590的博客
08-18 1139
java内存查杀工具。
PHP内存介绍
派大星的博客
02-28 3402
PHP内存介绍
内存查杀工具FindShell试用
HRay's blog
03-17 7122
首先使用冰蝎创建一个内存 成功进入内存界面 接下来尝试使用findshell查杀,项目主页为 https://github.com/4ra1n/FindShell 服务器上首先部署代码,执行 git clone https://github.com/4ra1n/FindShell.git 然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装) mvn package 打包后在targe..
工具分享 | 自研内存查杀工具MemShellKiller,红队必备
IT软件汇
09-11 341
工具分享 | 自研内存查杀工具MemShellKiller,红队必备
内存
weixin_41335734的博客
08-07 254
内存是一种恶意软件,它利用计算机系统中的内存漏洞,将恶意代码注入到目标机器的内存中,并利用该代码执行各种攻击操作。以下是关于内存的详细解析:一、定义与特点定义:内存是一种只在内存中运行,没有文件落地或者运行后能够删除自身的木。它利用内存中的漏洞和机制,隐藏自己并执行恶意操作。特点:无文件落地:内存不会在磁盘上留下...
应急响应—内存排查与查杀
最新发布
2301_76227305的博客
03-11 942
目前常用的查杀工具就这四款,主要是配合我们的手工进行一个查杀,如果是遇上哥斯拉的内存第一个工具估计检测不出来,因为冰蝎的内存做了hook,更加隐蔽。本来是想顺便演示一下的,但是冰蝎生成的shell死活连不上,也就放弃了。
查杀深度剖析:从扫盲到自启动项
扫盲篇主要针对对木查杀不太了解的读者,详细解释了什么是木、木的常见类型和工作原理。它可能涵盖了网络钓鱼、社会工程学、隐蔽通信等传播方式,以及木如何通过系统漏洞、恶意邮件附件或伪装的下载链接入侵...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值