手搓Filter内存马从构造到利用讲解(内存马系列篇一)

最新推荐文章于 2024-08-07 04:07:53 发布
最新推荐文章于 2024-08-07 04:07:53 发布
阅读量1k 收藏 8
点赞数
文章标签: servlet java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2204/article/details/129362012
版权
本文详细介绍了如何构造和利用Tomcat Filter内存马,包括Filter的概念、生命周期、配置方式,以及如何通过反射技术动态注册Filter实现内存马。通过分析Filter的调用过程,展示了如何在Servlet容器中植入和触发内存马,最后提供了实际的使用示例。
摘要由CSDN通过智能技术生成

写在前面

今天开始细说一下内存马相关的知识点了,我打算成立一个专辑,详细讲讲各种内存马的原理,构造,和检测方,同样包括一下tricks。

这篇是专辑的第一篇,详解了Tomcat下的Filter内存马。

前置

什么是内存马

什么是内存马呢?

内存马又名无文件马,在文件马越来越不好生存的今天,各种基于机器学习的下webshell检测让得文件马更加雪上加霜,于此同时,新的一种技术内存马愈演愈烈,但是简简单单的内存马构造技术似乎也不能够逃脱被检测查杀的风险,我们更加需要迫切的学习内存马底层的相关知识,去掉webshell特征,达到花样绕过检测机制的目的。

回归正题,来到Filter内存马的构造学习。

在Servlet来到了3.0的时代,能够动态的通过ServletContext进行注册是我们构造Filter的前提。

什么是Filter

Servlet Filter 又称 Servlet 过滤器,它是在 Servlet 2.3 规范中定义的,能够对 Servlet 容器传给 Web 资源的
request 对象和 response 对象进行检查和修改。

Filter 不是 Servlet,不能直接访问,它本身也不能生成 request 对象和 response 对象,它只能为 Web 资源提供以下过滤功能:

  • 在 Web 资源被访问前,检查 request 对象,修改请求头和请求正文,或对请求进行预处理操作。

  • 将请求传递到下一个过滤器或目标资源。

  • 在 Web 资源被访问后,检查 response 对象,修改响应头和响应正文。

而他的工作流程可以通过一张图进行展示。

image-20220910214207699.png

自然而然的,如果我们能够实现写入一个自定义的Filter在在访问特定资源的同时,拦截请求,对请求进行自定义Filter中的逻辑进行调用,就能够造成我们的恶意用途,达到了内存马的目的。

也可以来看看Filter的生命周期。

  1. 初始化阶段

  2. 拦截和过滤阶段

  3. 销毁阶段

简单的Filter示例

需要注册/映射Filter有两种方式:

通过 web.xml 配置

通过 @WebFilter 注解配置

我们这里采用了web.xml配置。

首先撰写一个实现了javax.servlet.Filter接口的类Demo

package pers.webshell.Tomcat;

import javax.servlet.*;
import java.io.IOException;

public class Demo implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("init.....");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("doFilter....");
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {
        System.out.println("destroy...");
    }
}

之后再在web.xml中配置。

<filter>
    <filter-name>myFilter</filter-name>
    <filter-class>pers.webshell.Tomcat.Demo</filter-class>
</filter>
<filter-mapping>
    <filter-name>myFilter</filter-name>
    <url-pattern>/filter</url-pattern>
</filter-mapping>

这样就搭建了一个/filter路由的拦截器,在访问该路由的时候将会被拦截,运行tomcat容器。

image-20220910215755755.png

可以发现成功拦截了。

分析Filter调用过程

我们在我们编写的类中的doFilter方法中打下断点,在访问路由的同时,将会调用doFilter路由,在到达路由前存在一些操作,查看一下调用栈吧。

doFilter:15, Demo (pers.webshell.Tomcat)
internalDoFilter:193, ApplicationFilterChain (org.apache.catalina.core)
doFilter:166, ApplicationFilterChain (org.apache.catalina.core)
doFilter:71, Log4jServletFilter (org.apache.logging.log4j.web)
internalDoFilter:193, ApplicationFilterChain (org.apache.catalina.core)
doFilter:166, ApplicationFilterChain (org.apache.catalina.core)
invoke:196, StandardWrapperValve (org.apache.catalina.core)
invoke:97, StandardContextValve (org.apache.catalina.core)
invoke:542, AuthenticatorBase (org.apache.catalina.authenticator)
invoke:135, StandardHostValve (org.apache.catalina.core)
invoke:81, ErrorReportValve (org.apache.catalina.valves)
invoke:698, AbstractAccessLogValve (org.apache.catalina.valves)
invoke:78, StandardEngineValve (org.apache.catalina.core)
service:364, CoyoteAdapter (org.apache.catalina.connector)
service:624, Http11Processor (org.apache.coyote.http11)
process:65, AbstractProcessorLight (org.apache.coyote)
process:831, AbstractProtocol$ConnectionHandler (org.apache.coyote)
doRun:1673, NioEndpoint$SocketProcessor (org.apache.tomcat.util.net)
run:49, SocketProcessorBase (org.apache.tomcat.util.net)
runWorker:1191, ThreadPoolExecutor (org.apache.tomcat.util.threads)
run:659, ThreadPoolExecutor$Worker (org.apache.tomcat.util.threads)
run:61, TaskThread$WrappingRunnable (org.apache.tomcat.util.threads)
run:748, Thread (java.lang)
最低0.47元/天 解锁文章
万天峰
关注
AutoSAR系列讲解(实践)9.2-信息发送的Filter机制
雪云飞星的博客
11-25 1万+
主要讲解了Signal Filter和Transmission Modes的机制
学习了解内存,看这就够了!(精华版)_什么是内存
yy1715713348的博客
03-23 1762
内存,也被称为无文件,是无文件攻击的一种常用段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到了几百家参演单位,内存也越来越多的被提起,逐渐成为了攻击方的“必备武器”,针对内存的防护也越来越被重视。内存是无文件攻击的一种技术段,那我们不得不先简单介绍一下无文件攻击。
tomcat Filter内存
weixin_45682070的博客
02-16 1415
Tomcat Filter 流程分析 首先创建一个javaWeb项目,再把tomcat/lib/catalina.jar和tomcat/lib/servlet-api.jar添加到项目中,创建一个demo文件。如果不会的化可以参考这文章 demo package filter; import javax.servlet.*; import java.io.IOException; public class filterDemo implements Filter { public void
内存检测排查段_内存查杀
2401_84215240的博客
07-22 1641
内存是无文件落地webshell中最常见的攻击段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
Java内存学习--Filter内存
zyer
08-04 977
Filter内存,入门级
Tomcat Filter内存
feng的博客
11-02 780
前言 之前学了flask的内存,一直都想学学Java内存,所以就学了Tomcat Filter内存,感觉还是太菜了呜呜呜好难看不太懂。最近学Java写下的文章都不太想发出来了,因为自己本身就没搞懂,都是迷迷糊糊的,看着各种文章上面说是怎么怎么样,然后分析了一波,给出了POC和结论,我是除了会用POC其他一点都没看太懂,只能说自己还是太菜了呜呜呜。 主要跟着天下大木头师傅的文章进行学习。 POC 注意命令执行那里放的是windows的,linux用注释里面的。 <%@ page import="
基于filter内存
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-09 1332
FilterMaps:存放 FilterMap 的数组,在 FilterMap 中主要存放了 FilterName 和 对应的 URLPattern,只要我们将filterFilterDefs,FilterMaps添加到FilterConfigs中就可以添加filter了。又回到之前ApplicationFilterFactory里,这里会返回filterChain这个对象,如果我们直接filterConfig的内容,是不是就能在filterChain调用addFilter时,将filter添加进去。
学习了解内存,看这就够了!(精华版)
MachineGunJoe666
06-21 1万+
目录 介绍: 一、内存简介 1.1 webshell变迁 1.2 如何实现webshell内存 1.3 内存类型 二、背景知识 2.1 Java web三大件 2.2Tomcat 2.3 其他java背景知识 三、内存实现 四、内存检测与排查 4.1源码检测 4.2 内存排查 介绍: 内存,也被称为无文件,是无文件攻击的一种常用段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到..
shiro 内存_深入利用Shiro反序列化漏洞
weixin_39879674的博客
12-22 2847
0x00:背景​ shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先de...
Java内存攻防实战——攻击基础
JavaMonsterr的博客
05-23 3255
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个章,分别是攻击基础和防护应用。本攻击基础介绍了Java Servlet
Yocto系列讲解[入门] 1 - 快速入门熟悉Yocto的构建
热门推荐
fulinux的博客
10-03 3万+
yocto quick start up带大家快速上
Java反序列化注入内存
02-09 2521
Java内存总体有Servlet/Filter/Listern/Java-Agent四种,前三种思路都差不多,通过不同方式获取到ApplicationContext/servletContext/StandardContext等对象,然后往ApplicationContext/servletContext/StandardContext注入恶意的Servlet/Filter/Listern,这里通过注入 Filter实现内存。 实现一 通过Thread.currentThread().getContex
内存
最新发布
weixin_41335734的博客
08-07 39
内存是一种恶意软件,它利用计算机系统中的内存漏洞,将恶意代码注入到目标机器的内存中,并利用该代码执行各种攻击操作。以下是关于内存的详细解析:一、定义与特点定义:内存是一种只在内存中运行,没有文件落地或者运行后能够删除自身的木。它利用内存中的漏洞和机制,隐藏自己并执行恶意操作。特点:无文件落地:内存不会在磁盘上留下...
[JAVA安全]filter 内存
snowlyzz的博客
01-11 566
Filter 内存学习笔记
tomcat内存学习
yggcwhat
05-14 336
tomcat内存学习
Filter内存浅析
angry_program的博客
05-11 2248
1. 何谓内存? 以Tomcat为例,内存主要利用Tomcat的部分组件会在内存中长期驻留的特性,只要将我们的恶意组件注入其中,就可以一直生效,直到容器重启。 Java内存shell有很多种,大致分为: 1. 动态注册filter 2. 动态注册servlet 3. 动态注册listener 4. 基于Java agent拦截修改关键类字节码实现内存shell 该文主要研究Filter内存的原理和实现。 2. Filter注册流程 假设有一个需要注册的filter类——F.
Tomcat Filter类型内存与查杀技术学习
xnxqwzy的博客
08-24 315
随着每年攻防对抗强度的增加,普通的木在各大厂商的安全设备下,根本难以存活,想要落地一个实体木的难度逐渐增大。逐步完善的过滤机制、前后端分离的趋势,使得传统的webshell生存空间越来越小。于是,随着时代的发展,内存出现了。内存就是一种无需落地文件就能使用的webshell,它将恶意代码写入内存,拦截固定参数来达到webshell的效果。发展过程如下:web服务器管理页面——> 大——>小拉大——>一句话木——>加密一句话木——>加密内存
java Filter内存分析
zkaqlaoniao的博客
12-20 303
内存就是无文件木,无文件落地,它通常会存在进程,内存或者java虚拟机中,特点更加隐蔽,难以排查,并且也难以删除。而今天学习的Filter内存是传统web应用型内存,主要将恶意代码注入到过滤器中,当过滤器拦截servlet请求的参数时,过滤器中的恶意代码就会执行。
Tomcat Filter内存解析与生命周期
本话题主要探讨了Tomcat中的Filter内存,这是在Servlet API内存类别下的一个特定概念,尤其是在Tomcat的高版本中,存在动态注册Tomcat组件的功能,其中包括`addFilter`方法,该方法允许在运行时动态添加新的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值