Java内存马-Instrument

已于 2022-05-08 17:06:07 修改
阅读量679 收藏 2
点赞数
文章标签: java web安全
于 2022-04-20 14:41:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mole_exp/article/details/124094991
版权

文章目录

注:

本文还没完成,后面有空再完成吧。
其实吧,关键的东西都在代码实现里了:
https://github.com/fa1c0n1/JavaInstrument

Java Instrument简介

我们只要拥有一个web容器进程执行用户的权限,理论上就可以完全控制该进程的地址空间(更确切的说是地址空间中的非Kernel部分),包括地址空间内的数据和代码。OS层进程注入的方法有很多,不过具体到Java环境,我们不需要使用操作系统层面的进程注入方法。Java为我们提供了更方便的接口,Java Instrumentation。

java.lang.Instrument包是在JDK5引入的,开发者通过修改方法的字节码实现动态修改类代码。利用Instrument,开发者可以开发单独的代理Agent实现对JVM进程的运行时监控,分析JVM进程运行时内存状态,甚至可以很方便地修改内存中类的字节码,修改或者扩展已有的功能

Java Agent 开发

Java agent的使用方式有两种:

  • 实现premain方法,在JVM启动前加载;
  • 实现agentmain方法,在JVM启动后加载。

premain和agentmain函数声明如下,拥有Instrumentation inst参数的方法优先级更高:


public static void agentmain(String agentArgs, Instrumentation inst) {
    ...
}

public static void agentmain(String agentArgs) {
    ...
}

public static void premain(String agentArgs, Instrumentation inst) {
    ...
}

public static void premain(String agentArgs) {
    ...
}

第一个参数String agentArgs就是Java agent的参数。
第二个参数 Instrumentaion inst 相当重要,后面会提到。

由于内存马的使用场景,一般是注入正在运行的JVM进程,所以下面只介绍 agentmain 方式的使用。

agentmain() 方法

VirtualMachine

Agent内存马实现:Tomcat环境

演示:Tomcat环境

演示,SpringMVC 5.2.0 + Tomcat 8.5.39:

启动Tomcat环境后,注入我们的Agent内存马。
在这里插入图片描述
在这里插入图片描述

这里要注意,由于是自己的测试环境,所以刚启动Tomcat,需要自己访问一下Tomcat服务的随便一个url,否则Tomcat里的一些类没有加载进内存,比如注入Agent内存马时要找的目标类org.apache.catalina.core.ApplicationFilterChain。没有加载到内存中,从而找不到这个类,所以注入内存马失败。而线上环境的话由于早就被访问过无数次了,所以Tomcat的这些类肯定都已被加载到内存中了,所以就不存在这个问题,直接注入Agent内存马即可。

然后做以下操作:

  • 访问已存在的路由url

(1) 指定非webshell的参数时,原有业务不受影响:
在这里插入图片描述
(2) 指定webshell参数时,将执行我们注入的webshell代码:
在这里插入图片描述

  • 访问不存在的路由url

(1) 指定非webshell的参数时,显示404页面:
在这里插入图片描述
(2) 指定webshell参数时,将执行我们注入的webshell代码:
在这里插入图片描述

agent内存马持久化:Tomcat重启后被自动注入agent内存马

agent内存马注入Tomcat进程后,原来路径下的两个jar被agent删除了,然后当Tomcat进程关闭前,两个jar会写入到Tomcat的临时目录,并开启AgentTomcatMemShellInject 进程。
在这里插入图片描述
在这里插入图片描述
当Tomcat再次启动后,AgentTomcatMemShellInject检测到Tomcat进程后,将agent内存马注入进去,然后AgentTomcatMemShellInject进程便结束了。
在这里插入图片描述
在这里插入图片描述
此时再次访问agent内存马,发现依旧生效。自此,便实现了agent内存马在Tomcat环境下的持久化,会随着Tomcat进程的重启而自动复活。(如果不想让它自动复活,则在Tomcat关闭后,kill掉AgentTomcatMemShellInject的进程即可)
在这里插入图片描述

演示:Springboot环境

Springboot环境下,目前笔者无法做到自动复活。因为在Agent注入到Springboot的进程后,尝试了各种办法都无法在agentmain()方法中获取到上下文context对象,从而无法进一步获取Tomcat端口号。

Instrument内存马的特点

  • 优点:不会生成新的Servlet,Filter,Listener对象,因此隐蔽性更强。
  • 缺点:需要生成Agent文件落地,有可能会被IDS文件检测检测到Agent。

    针对缺点的改进,参考学习[3][4]

相关代码已传github:

https://github.com/fa1c0n1/JavaInstrument

参考

[1] https://mp.weixin.qq.com/s/cbF2cdV9mnbGZWDwHuUoNA
[2] https://www.cnblogs.com/rebeyond/p/9686213.html
[3] https://mp.weixin.qq.com/s/JIjBjULjFnKDjEhzVAtxhw
[4] https://mp.weixin.qq.com/s/ulINOH4BnwfR7MBc6r5YHQ
[5] https://mp.weixin.qq.com/s/sV_mUnI6GshehMiLgCSn7Q
[6] https://mp.weixin.qq.com/s/YVwqD6SwUq_jkEe_9afBCg
[7] https://mp.weixin.qq.com/s/gmKSmW5SIME8lWKj8bvhWw

xc8qanAFenlka@x1
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Multi-Instrument Pro 3.9.3万用仪
10-02
Multi-Instrument Pro 3.9.3最新版万用仪,Multi-Instrument万用仪将你的电脑变为一台多功能的虚拟仪器,如示波器,频谱分析仪、声谱仪,频率计声压计,振动计及LCR表,设备检测仪数据记录仪,信号发生器等仪器。
学习Java agent 内存(看不懂别关闭,直接喷!!!)
一剑开天门!的博客
12-23 2739
java agent 是 Java 程序,可以通过在 Java 虚拟机(JVM)启动时提供参数来加载和运行。它可以通过 java.lang.instrument 包提供的 Java 标准接口进行代码插桩,从而在 Java 应用程序的类加载和运行期间改变 Java 字节码。而java agent内存就是利用这个特性产生。
Java内存简单实现
派大星的博客
12-04 1725
Java内存
一文带你读懂 Java Agent 内存
iO快到碗里来
06-11 1564
在 jdk 1.5 之后引入了 java.lang.instrument 包,该包提供了检测 java 程序的 Api,用于监控、收集性能信息、诊断问题等。通过 java.lang.instrument 实现的工具我们称之为 Java Agent ,Java Agent 能够在不影响正常编译的情况下来修改字节码,即动态修改已加载或者未加载的类,包括类的属性、方法等。......
Java内存基础
m0_46317063的博客
02-05 337
filter内存基础
java-stack-trace
04-27
-javaagent:java-stack-trace-1.0-SNAPSHOT-jar-with-dependencies.jar=[m:method name|f:file name] 方法前缀可以用m:method name指定 m: 代表Method方法 method name: 需要打印堆栈的方法的前缀 方法前缀也可以用f...
invesdwin-instrument:能够将自身注入正在运行的进程中的仪表Java代理
05-06
这是一种仪表Java代理,能够将自身加载到正在运行的JVM中。 它能够动态设置spring InstrumentationLoadTimeWeaver以启用对方面的支持,而不必使用显式的Java代理启动JVM。 玛文 版本和快照已部署到此Maven存储库: ...
spring-instrument.zip
11-28
spring-instrument:提供一些类级的工具支持和ClassLoader级的实现,用于...包含:spring-instrument-5.2.0.RELEASE.jarspring-instrument-5.2.0.RELEASE-javadoc.jarspring-instrument-5.2.0.RELEASE-sources.jar
spring-instrument-tomcat-3.2.9.RELEASE.jar
04-20
spring-instrument-tomcat-3.2.9.RELEASE.jar
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3067
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
初识Java内存检测
chennqqi的专栏
12-30 4267
近些年,无文件攻击技术越来越流行。本文旨在介绍无文件攻击中最为流行的一种技术——Java内存,让企业、用户了解和重视其危害性,提高防范意识,降低安全风险。-全文约1500字,预计阅读...
[Java安全]—Controller内存
Sentiment的博客
11-02 532
Controller内存
红队视角下Java内存的应用
include_voidmain的博客
11-07 707
红队视角下Java内存的应用
实战分享!spring内存(Controller)构造
MachineGunJoe666
07-05 340
也不行,再换种方法。这里可以写到一个类中,之前那个相当于两个类,一个主类其中嵌套内部类,再进行build之后,可以看到会生成两个类,因为java中的内部类只是java编译器的概念,对于java的虚拟机而言,它是没有java内部类的概念的,也就是说java中的内部类最后也会被编译成一个独立的class文件。再看第一个参数patterns的构造函数,PatternsRequestCondition是路径匹配,也就是定义访问 controller 的 URL 地址,那么这里写url。
java内存学习与理解
Shanfenglan's blog
11-08 5462
文章目录1. 前置知识1.1 java web 核心组件listenerfilterfilter的生命周期filter链servlet2. tomcat2.1 核心组件1. connector组件2. container组件 1. 前置知识 1.1 java web 核心组件 首先我们得知道,java网站都一定会有一个web容器。 listener 本质是一个java类。 作用是监听Application、Session和Request三大对象创建或者删除,然后根据监听的结果来执行提前编写的代码。 可以简单
Java安全之servlet内存分析
shelter1234567的博客
09-30 1795
php和jsp一句话我想大家都知道,早先就听小伙伴说过一句话木已经过时了,现在是内存的天下了 ,内存无落地文件,更隐蔽不易被发现。翻一翻大佬的文章看起来让人云里雾里的,究竟什么是内存呢?为了搞清这点我们必须从java的特性底层出发,才能对内存知根知底。本节我将介绍什么是内存?什么是servlet?servlet运行机制jsp的本质Tomcat总体架构注册servlet到tomcat注册的流程StandardContext类servlet内存的实现。
java Filter内存分析
最新发布
hackzkaq的博客
12-21 824
内存就是无文件木,无文件落地,它通常会存在进程,内存或者java虚拟机中,特点更加隐蔽,难以排查,并且也难以删除。而今天学习的Filter内存是传统web应用型内存,主要将恶意代码注入到过滤器中,当过滤器拦截servlet请求的参数时,过滤器中的恶意代码就会执行。
Java安全』Tomcat内存_动态注册Valve内存_管道Pipeline内存
Ho1aAs‘s Blog
04-12 3749
文章目录前言Valve机制新建ValveValve的注册Valve调用分析Valve内存原理完整代码参考引用完 前言 Valve机制 Valve 是 Tomcat 中的用于对Container 组件(Engine/Host/Context/Wrapper)进行扩展一种机制。 四大组件拥有各自的管道Pipeline,一个形象的理解就是Pipeline 就相当于拦截器链,而valve就相当于拦截器。 借用其他文章的图来理解: 新建Valve 有valve接口 valve的动作定义在invoke中、通过调
【网络安全】Agent内存的自动分析与查杀
wuli1024的博客
12-15 138
以上是背景,接下来介绍我做了些什么,能够实现怎样的效果不难看出,以上内存查杀手段都是半自动结合人工审核的方式,当检测出内存后检测(同时支持普通内存Java Agent内存的检测)分析(如何确定该类是内存,仅根据恶意类名和注解等信息不完善)查杀(当确定内存存在,如何自动地删除内存并恢复正常业务逻辑)大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍→点击获取网络安全资料·攻略←200多本网络安全系列电子书网络安全标准题库资料项目源码。
opentelemetry-javaagent.jar 自定义instrument
10-04
opentelemetry-javaagent.jar 是一个用于自动化和 Java 应用程序的分布式跟踪的工具。我们可以使用自定义 instrument 来扩展其功能。 自定义 instrument 可以帮助我们实现一些自定义的行为,例如,我们可以在代码中插入额外的标记信息,或者在特定的函数或方法中加入额外的追踪逻辑。 要实现自定义 instrument,我们需要进行以下步骤: 1. 创建一个 Java 类,并继承 `OtelInstrumenter` 类。这是一个由 OpenTelemetry 提供的接口,用于定义自定义 instrument 的行为。 2. 在该类中,我们需要实现 `applyInstrumentation` 方法。该方法会被调用来应用自定义的 instrument 到目标应用程序中。 3. 在 `applyInstrumentation` 方法中,我们可以使用 OpenTelemetry 提供的 API 来修改目标应用程序的代码,例如,在特定的函数或方法调用前后插入追踪代码。 4. 编译并打包自定义 instrument 的代码,并将其作为 `-javaagent` 参数传递给 `opentelemetry-javaagent.jar`。当目标应用程序启动时,这个自定义 instrument 会被加载和应用。 通过使用自定义 instrument,我们可以根据自己的需求对目标应用程序的代码进行修改和增强。这样,我们就能够更好地实现跟踪和监控,并获得更加详细和准确的跟踪数据。 总结起来,opentelemetry-javaagent.jar 提供了一种灵活和可扩展的方式来实现自定义 instrument。我们可以通过创建自定义 instrument 类,并在其中实现特定的逻辑来修改目标应用程序的代码,从而实现更精确和详细的分布式跟踪。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值