内存Webshell马详解

最新推荐文章于 2024-05-01 03:03:08 发布
最新推荐文章于 2024-05-01 03:03:08 发布
阅读量4.5k 收藏 7
点赞数 2
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/127747396
版权

一、内存马概述

1、内存马简介

内存webshell相比于常规webshell更容易躲避传统安全监测设备的检测,通常被用来做持久化,规避检测,持续驻留目标服务器。无文件攻击、内存Webshell、进程注入等基于内存的攻击手段也受到了大多数攻击者青睐。

内存马是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到。因此内存马近年来越来越被重视,逐渐成为了攻击方的“必备武器”,针对内存马的防护也越来越被重视。

无文件攻击可以有效地躲避传统安全软件的检测,它们可以在系统的内存中远程加载执行、驻留在注册表中或滥用常用的白名单工具,例如PowerShell,Windows Management Instrumentation(WMI)和PsExec等。无文件攻击技术允许攻击者访问系统,从而启用后续的恶意活动。

通过操纵漏洞利用程序、合法工具、宏和脚本,攻击者可以破坏系统、提升特权或在网络上横向传播恶意代码。而且,无文件威胁在执行后不会留下任何痕迹,这使其难以被检测和清除。

2、内存马类型

根据内存马注入的方式,大致可以将内存马划分为如下两类:

  • servlet-api型

通过命令执行等方式动态注册一个新的listener、filter或者servlet,从而实现命令执行等功能。特定框架、容器的内存马原理与此类似,如spring的co

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
手搓Filter内存从构造到利用讲解(内存系列篇一)
顶峰
03-06 994
今天开始细说一下内存相关的知识点了,我打算成立一个专辑,详细讲讲各种内存的原理,构造,和检测方,同样包括一下tricks。这篇是专辑的第一篇,详解了Tomcat下的Filter内存。什么是内存呢?
内存介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 843
先判断是通过什么方法注入的内存,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
学习了解内存,看这篇就够了!(精华版)_什么是内存
jennycisp的博客
04-11 972
内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到了几百家参演单位,内存也越来越多的被提起,逐渐成为了攻击方的“必备武器”,针对内存的防护也越来越被重视。内存是无文件攻击的一种技术手段,那我们不得不先简单介绍一下无文件攻击。
2024年Java安全之反序列化回显与内存
最新发布
2401_84253089的博客
05-01 412
将命令执行结果使用获取到的Request和Response来输出。坑点记录#开始想直接获取内部类发现思路不通,后来采用getDeclaredClasses方法获取某类中所有内部的内部类遍历,判断类名传递定位到该类。获取global遍历的时候出现了巨坑,直接反射去获取。但是未意识到创建是一个class对象,反射使用get方法必须传递实例。获取到Request需要调用request.getNote(1);转换为org.apache.catalina.connector.Request的对象。
PHP内存型木
Mi1k7ea
12-09 7878
基本概念 PHP内存性木即PHP不死,一般会删除自身以进程的形式循环创建隐蔽的后门。 通常在AWD Web题中用得较多。 Demo及原理 nodie.php <?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '/var/www/dvwa/.ski12.php'; $...
深入研究Tomcat内存的攻击技术
hackzkaq的博客
11-16 214
Tomcat内存(Tomcat Memory Shell)是一种利用Apache Tomcat服务器的漏洞,将恶意代码注入Tomcat进程的内存中的攻击技术ServletContextListener:用于监听整个 Servlet 上下文(创建、销毁)ServletContextAttributeListener:对 Servlet 上下文属性进行监听(增删改属性)ServletRequestListener:对 Request 请求进行监听(创建、销毁)
小研究 - 面向 Java 的高对抗内存Webshell 检测技术(三)
牧码的博客
07-18 403
小研究 - 面向 Java 的高对抗内存Webshell 检测技术(三)
精确查找PHP WEBSHELL 修正版
10-28
上篇提到了关于网上流传查找PHP webshell的python脚本中,不严谨的代码,并且给出了一个python的检测代码,同时,下文里也提到不能检测到反引号的命令执行的地方。今天,我想了下,现在把思路发出来。
最新的PHP WEBshell
01-13
最新的WEBshell,亲测可用,若有侵权,请联系CSDN管理员删除
3个php后门WebShell扫描神器
10-09
3个php后门WebShell扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,扫描自己网站服务器里面有没有后门,虚拟主机也可以用,密码打开文件修改,放入根目录,输入网址运行即可。
PHP实现webshell扫描文件木的方法
10-19
主要介绍了PHP实现webshell扫描文件木的方法,涉及php针对数值传输的过滤操作与文件识别等相关安全操作技巧,需要的朋友可以参考下
php大(webshell)
05-26
增加了到达部分敏感目录的快捷链接。除了登录密码部分,其它所有代码已经过base64_decode加密(免杀性能好),请自行修改$admin['pass']处的登录密码。由于此php大的功能过于强大,请勿用于非法用途。
小研究 - 面向 Java 的高对抗内存Webshell 检测技术(五)
牧码的博客
07-19 310
小研究 - 面向 Java 的高对抗内存Webshell 检测技术(五)
内存涉及基础知识整理
vlogFeynman的博客
05-17 1607
Tomcat 简介 http服务器+servlet容器 部署和运行 mansger 密码文件配置 第一次如果不改都登录不进去 springboot打包 jar war的区别 Tomcat架构设计 Tomcat架构原理 几乎所有Web框架都是基于Servlet的封装,Sping应用本身就是一个Servlet,Tomcat是容器负责加载和运行Servlet 整体架构设计 一个Tomcat只有一个Server,一个Server至少一个Service 两个核心组件 A Connector----- B Co
【杂谈Java内存Webshell的攻与防】
mingyqf的博客
05-01 989
侵刪 杂谈Java内存Webshell的攻与防 长小亭 网络安全知识的搬运工~ 这篇文章主要以Tomcat为例子记录了一些关于Java内存Webshell利用与检测以及相关的思考。 内存Webshell的利用方式 现在的内存Websell的利用方式个人感觉可以分为以下三种: \1. 基于Servlet规范的利用,动态注册Servlet规范中的组件,包括Servlet,Filter,Listener,这部分的公开文章比较多,比如: 基于tomcat的内存 Webshell 无文件攻击技术 - 先知社区 x
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3145
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
.Net网站webshell 401?403?D盾拦截?一招内存直接搞定
Azjj
01-31 1445
在参加某次公司项目时,在碰到一个.NEt的通用系统,通过审计发现了两个文件上传漏洞,网站管理员发现网站被上传webshell后,最开始是修改了网站的配置文件,导致脚本文件禁止执行,后来通过上传web.config的方式给绕过了,但是后面管理员又给服务器装了D盾,安全狗,天擎,导致上传的文件无法正常解析,尝试了各种免杀的aspx,都是提示禁止执行脚本文件,最后通过加载内存的方式绕过了D盾的检测。
weblogic中间件WLS(bea_wls_internal)组件敏感信息泄露漏洞整改
qq_31358379的博客
10-26 5580
近期负责的系统weblogic中间件bea_wls_internal被查出存在wls组件敏感信息泄露漏洞,访问漏洞地址如下: 针对上述漏洞,做过如下测试,整改未生效。 删除bea_wls_internal.war包,重启服务,服务无法启动,整改失败。 修改为weblogic域下的config.xml文件,在xml文件中<server>下添加标签<default-internal-servlets-disabled>true</default-internal-servle
学习了解内存,看这篇就够了!(精华版)
热门推荐
MachineGunJoe666
06-21 1万+
目录 介绍: 一、内存简介 1.1 webshell变迁 1.2 如何实现webshell内存 1.3 内存类型 二、背景知识 2.1 Java web三大件 2.2Tomcat 2.3 其他java背景知识 三、内存实现 四、内存检测与排查 4.1源码检测 4.2 内存排查 介绍: 内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到..
webshell
04-17
Webshell是一种恶意软件,它通过在受攻击的Web服务器上植入恶意代码,从而使攻击者可以远程控制服务器。Webshell通常利用Web应用程序的漏洞或弱密码进行入侵,并通过上传恶意脚本文件来获取对服务器的控制权限。 一旦攻击者成功植入Webshell,他们可以执行各种恶意操作,例如: 1. 文件操作:查看、上传、下载、删除文件。 2. 远程命令执行:执行系统命令,获取服务器的敏感信息。 3. 数据库操作:访问和修改数据库中的数据。 4. 网络操作:进行端口扫描、网络嗅探等活动。 5. 反弹Shell:建立与攻击者之间的反向连接,以便进行更深入的攻击。 为了防止Webshell的入侵,可以采取以下措施: 1. 及时更新和修补Web应用程序的漏洞。 2. 使用强密码,并定期更改密码。 3. 限制文件上传功能,并对上传的文件进行严格的检查和过滤。 4. 对服务器进行定期的安全审计和漏洞扫描。 5. 使用安全防护软件和防火墙来监控和阻止恶意行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值