内存马查杀工具使用

最新推荐文章于 2025-04-02 15:45:12 发布
最新推荐文章于 2025-04-02 15:45:12 发布
阅读量982 收藏 9
点赞数 4
文章标签: 网络安全 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64777251/article/details/139938950
版权

内存马查杀工具使用

环境搭建

找一台centos7 在上面搭建tomcat

image-20240624143651377

yum install -y tomcat tomcat-webapps tomcat-admin-webapps
systemctl start tomcat

image-20240624143723783

安装arthas

wget https://github.com/alibaba/arthas/releases/download/arthas-all-3.6.6/arthas-bin.zip
unzip arthas-bin.zip
java -jar arthas-boot.jar

生成哥斯拉马

image-20240624150750651

上传到根目录下

image-20240624151258029

centos有点搞不来

直接在kali上复现了

image-20240624152546233

image-20240624152650535

上传到更目录

image-20240624152906217

然后上传arthas

注入filter内存马

连接哥斯拉

image-20240624153110605

内存马注入前运行arthas

image-20240624153142015

image-20240624153205840

注入filter内存马

get

image-20240624153310751

查杀filter内存马

进入到arthas

image-20240624153414008

sc *.Filter
sc -d org.apache.coyote.ext.Java7Support

image-20240624154410755

image-20240624154437096

在classloder中发现明显特征

使用jad反编译这个类

jad org.apache.coyote.ext.Java7Support

image-20240624154755524

image-20240624154812010

代码中大量运用invoke反射来实现。

注入memoryshell

image-20240624155015921

mbean | grep "name=/"

image-20240624155043599

查杀内存马

添加该内存马后通过mbean看

image-20240624155143603

可发现多了一个servlet且路径与我们注入一样

sc *.Servlet

image-20240624155252240

classloader

image-20240624155642008

heapdump排查(冰蝎内存马可以查)

image-20240624160827811

heapdump

strings /usr/local/tomcat/apache-tomcat-8.5.100/temp/heapdump2024-06-24-16-076077898122244004000.hprof | grep "POST /"

image-20240624161634119

我忘了前面注入的哥斯拉没有路由映射

正常来说冰蝎注入内存马时会有路由映射

这样就可以通过heapdump找到内存马外联痕迹

Arthas 排查内存马命令总结

classloader
sc *.Filter
sc *.Servlet
jad
heapdump

参考文章:干货|冰蝎、哥斯拉 内存马应急排查_冰蝎内存马-CSDN博客

copagent使用

前面想到还有这么一个东西

重新注入内存马

image-20240624175553452

上传cop.jar

运行

image-20240624175704232

image-20240624175726638

image-20240624175833790

image-20240624175944237

它会自动内存中可疑的类打出来

把生成的东西打包复制到windows上我用d盾扫一下

image-20240624180247469

image-20240624180303003

image-20240624180318847

看内容和我前面注入filter内存马一样

m0_64777251
关注
内存查杀copagent研究
SHELLCODE_8BIT的博客
09-11 1571
1.cop注入进程jvm进程2.agent扫描进程。
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
在校自研内存查杀工具,非常实用
stopys6的博客
09-07 658
工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
java内存原理和检测方法
最新发布
m0_67170526的博客
04-02 758
内存为现在的主流webshell技术之一, 一般存在于JAVA环境, ASPX环境也有内存,但是PHP没有(有不死,类似条件竞争)内存主要用途是做权限维持,特点是无文件,代码保存在内存中,导致值守人员不太好进行排查。
查杀内存工具
weixin_46211944的博客
09-23 620
查杀内存工具
内存查杀工具分享!!!
logic1001的博客
02-23 1212
查杀内存
HVV之内存检测工具
公众号:乌云安全
09-23 825
一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译。本工具不能代替杀毒软件。功能列表HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])无文件落地木检测(检测所有已知内存加载木)
工具分享 | 自研内存查杀工具MemShellKiller,红队必备
IT软件汇
09-11 341
工具分享 | 自研内存查杀工具MemShellKiller,红队必备
在校自研内存查杀工具,非常好用
S18374的博客
10-25 137
工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
内存查杀工具
Python_0011的博客
02-10 789
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!Hearts K-企业资产发现与脆弱性检查工具,自动化资产信息收集与漏洞扫描。朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。Google hacking语法大全。”,否则可能就看不到了啦!
2024最新工具分享 | 自研内存查杀工具MemShellKiller,红队必备
苏诺木安全团队
12-26 245
2024最新工具分享 | 自研内存查杀工具MemShellKiller,红队必备
DuckMemoryScan:检测绝大部分所谓的内存免杀
03-04
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!本工具不能代替杀毒软件!!! 运行截图 功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测) 可疑进展检测(主要针对有逃避性质的进展[如过期签名与多部分细分段]) 无文件落地木检测(检测所有已知内存加载木) 简易rootkit检测(检测证书过期/拦截复制/证书无效的驱动) 检测异常模块,检测绝大部分如“ iis劫持”的后门(2021年2月26日添加) 免杀木检测原理: 所有所谓的内存免杀后门大部分基于“ VirtualAlloc”函
内存查杀工具FindShell试用
HRay's blog
03-17 7128
首先使用冰蝎创建一个内存 成功进入内存界面 接下来尝试使用findshell查杀,项目主页为 https://github.com/4ra1n/FindShell 服务器上首先部署代码,执行 git clone https://github.com/4ra1n/FindShell.git 然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装) mvn package 打包后在targe..
java内存查杀工具
qq_44749590的博客
08-18 1140
java内存查杀工具
SRC实战 | 信息泄露挖掘
logic1001的博客
03-13 777
1. 信息搜集首先老语法先搜集一波,毕竟没有钓鱼和sg的能力,只能找注册站去挖挖了。web.title=”XX大学”&&web.body=”忘记密码”&&web.body=”注册”
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1540
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
应急--内存查杀演示(极简)
m0_58355451的博客
08-30 3968
由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的。以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode,就可以达到我们的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值