java内存shell_Tomcat 内存码检测

最新推荐文章于 2024-05-12 04:50:29 发布
最新推荐文章于 2024-05-12 04:50:29 发布
阅读量933 收藏 3
点赞数
文章标签: java内存shell

随着HW、攻防对抗的强度越来越高,各大厂商对于webshell的检测技术愈发成熟,对于攻击方来说,传统的文件落地webshell的生存空间越来越小,无文件webshell已经逐步成为新的研究趋势。

三月底针对tomcat内存码的检测写了一个demo,但由于对Maven打包理解不深,整个项目结构比较糟糕。

国庆前研究了LandGrey师傅的copagent项目,在该项目基础上进行了重构,并于本文中记录了检测思路,以及部分核心代码。

0x01 Java内存码简介

关于JAVA内存码的发展历史,这里引用下来c0ny1师傅的总结 。早在17年n1nty师傅的《Tomcat源码调试笔记-看不见的shell》中已初见端倪,但一直不温不火。后经过rebeyond师傅使用agent技术)加持后,拓展了内存马的使用场景,然终停留在奇技淫巧上。在各类hw洗礼之后,文件shell明显气数已尽。内存马以救命稻草的身份重回大众视野。特别是今年在shiro的回显研究之后,引发了无数安全研究员对内存webshell的研究,其中涌现出了LandGrey师傅构造的Spring controller内存马。

从攻击对象来说,可以将Java内存码分为以下几类:

  1. 1.servlet-apifilter型servlet型listener型
  2. 2.指定框架,如spring
  3. 3.字节码增强型
  4. 4.任意JSP文件隐藏

为方便学习,webshell demo已整理至github。

0x02 整体思路

无论是以上哪种攻击方式,影响的均为加载到tomcat jvm中的类。

从防守方的角度来说,可以通过java instrumentation机制,将检测jar包attach到tomcat jvm,检查加载到jvm中的类是否异常。

整体检测思路为:

  1. 1.获取tomcat jvm中所有加载的类
  2. 2.遍历每个类,判断是否为风险类。这里把可能被攻击方新增/修改内存中的类,标记为风险类(比如实现了filter/servlet的类)
  3. 3.遍历风险类,检查是否为webshell:检查高风险类的class文件是否存在;反编译风险类字节码,检查java文件中包含恶意代码

0x03 获取jvm中所有加载的类

  1. 1.遍历java jvm,查找所有的tomcat jvm
  2. 2.通过java instrumentation,将agent attach到每个tomcat jvm。由于可能存在多个tomcat进程的场景,因此每个tomcat jvm均检测一遍
441ea31c40f63d0a6877b32e4da4f9fc.png

3.3.遍历tomcat jvm 加载过的类private static synchronized void detectMemShell(String currentJvmName, Instrumentation ins) { // 获取所有加载的类 Class>[] loadedClasses = ins.getAllLoadedClasses(); }

0x04 风险类识别

最理想的做法是把所有加载的类都认定为风险类。但在绝大多数情况下jvm加载的都是正常的类,每次检查时,都dump所有加载的类,对于tomcat来说开销有点大。

比较实际的做法是,根据已知内存需要新增/修改的类生成特征。

对于内存中的每一个类,检查其自身,并递归检查其父类,如果命中特征,就标记为风险类。

public static List> findAllSuspiciousClass (Instrumentation ins, Class>[] loadedClasses){    // 结果    List> suspiciousClassList = new ArrayList>();    List loadedClassesNames = new ArrayList();    // 获取所有风险类    for (Class> clazz : loadedClasses) {        loadedClassesNames.add(clazz.getName());        // 递归 检查class的父类 空或java.lang.Object退出        while (clazz != null && !clazz.getName().equals("java.lang.Object")) {            if (                    ClassUtils.lsContainRiskPackage(clazz) ||                            ClassUtils.isUseAnnotations(clazz) ||                            ClassUtils.lsHasRiskSuperClass(clazz) ||                            ClassUtils.lsRiskClassName(clazz) ||                            ClassUtils.lsReleaseRiskInterfaces(clazz)            ){                if (loadedClassesNames.contains(clazz.getName())) {                    suspiciousClassList.add(clazz);                    ClassUtils.dumpClass(ins, clazz.getName(), false,                            Integer.toHexString(clazz.getClassLoader().hashCode()));                    break;                }                LogUtils.logToFile("cannot find " + clazz.getName() + " classes in instrumentation");                break;            }            clazz = clazz.getSuperclass();        }    }    return suspiciousClassList;}

这里借鉴了LandGrey师傅的黑名单,将内存马的目标类的类名、继承类、实现类、所属的包、使用的注解均设置黑名单。

1. 实现类黑名单

检测类是否实现javax.servlet.Filter / javax.servlet.Servlet / javax.servlet.ServletRequestListener接口类。

// 检测类是否实现高风险接口,如servlet/filter/Listenerpublic static Boolean lsReleaseRiskInterfaces(Class> clazz){    // 高风险的接口    List riskInterface = new ArrayList();    // filter型    riskInterface.add("javax.servlet.Filter");    // servlet型    riskInterface.add("javax.servlet.Servlet");    // listener型    riskInterface.add("javax.servlet.ServletRequestListener");    try {        // 获取类实现的interface        List clazzInterfaces = new ArrayList();        for (Class> cls : clazz.getInterfaces())            clazzInterfaces.add(cls.getName());        // 两个list有交集 返回true        clazzInterfaces.retainAll(riskInterface);        if(clazzInterfaces.size()>0){            return Boolean.TRUE;        }    } catch (Throwable ignored) {}    return Boolean.FALSE;}

2. 继承类黑名单

// 检测父类是否属于高风险public static Boolean lsHasRiskSuperClass(Class> clazz) {    // 高风险的父类    List riskSuperClassesName = new ArrayList();    riskSuperClassesName.add("javax.servlet.http.HttpServlet");    try {        if ((clazz.getSuperclass() != null                && riskSuperClassesName.contains(clazz.getSuperclass().getName())        )){            return Boolean.TRUE;        }    }catch (Throwable ignored) {}    return Boolean.FALSE;}

3. 注解黑名单

通过clazz.getDeclaredAnnotations() 获取所有注解,如果类使用了spring注册路由的注解,则标记为高风险。

public static Boolean isUseAnnotations(Class> clazz) {    // 针对spring注册路由的一些注解    List riskAnnotations = new ArrayList();    riskAnnotations.add("org.springframework.stereotype.Controller");    riskAnnotations.add("org.springframework.web.bind.annotation.RestController");    riskAnnotations.add("org.springframework.web.bind.annotation.RequestMapping");    riskAnnotations.add("org.springframework.web.bind.annotation.GetMapping");    riskAnnotations.add("org.springframework.web.bind.annotation.PostMapping");    riskAnnotations.add("org.springframework.web.bind.annotation.PatchMapping");    riskAnnotations.add("org.springframework.web.bind.annotation.PutMapping");    riskAnnotations.add("org.springframework.web.bind.annotation.Mapping");    try {        // 获取所有注解        Annotation[] da = clazz.getDeclaredAnnotations();        if (da.length > 0)            for (Annotation _da : da) {                // 比较 注解 && 高风险注解 如果有交集 返回True                for (String _annotation : riskAnnotations) {                    if (_da.annotationType().getName().equals(_annotation))                        return Boolean.TRUE;                }            }    } catch (Throwable ignored) {}    return Boolean.FALSE;}

4. 类名黑名单

// 高风险的类名public static Boolean lsRiskClassName(Class> clazz){    List riskClassName = new ArrayList();    riskClassName.add("org.springframework.web.servlet.handler.AbstractHandlerMapping");    try {        if (riskClassName.contains(clazz.getName())){            return Boolean.TRUE;        }    }catch (Throwable ignored) {}    return Boolean.FALSE;}

5. 报名黑名单

// 检测是否属于高风险的包public static Boolean lsContainRiskPackage(Class> clazz){    // 高风险的包    List riskPackage = new ArrayList();    riskPackage.add("net.rebeyond.");    riskPackage.add("com.metasploit.");    try {        for (String packageName : riskPackage) {            if (clazz.getName().startsWith(packageName)) {                return Boolean.TRUE;            }        }    }catch (Throwable ignored) {}    return Boolean.FALSE;}

6. 基于mbean的filter/servlet风险类识别

这里分享另一种filter/servlet的检测,检测思路是通过mbean获取sevlet/filter列表,内存马的filter是动态注册的,所以web.xml中肯定没有相应配置,因此通过对比可以发现异常的filter。

MBeanServer mbs = ManagementFactory.getPlatformMBeanServer();Object mbsInte = getFieldValue(mbs, "mbsInterceptor");Object repository = getFieldValue(mbsInte, "repository");Object domainTb = getFieldValue(repository, "domainTb");Map catlina = (Map)((Map)domainTb).get("Catalina");for (Map.Entry entry : catlina.entrySet()) {  String key = entry.getKey();  // servlet  if (key.contains("j2eeType=Servlet")){...}  // filter   if (key.contains("j2eeType=Servlet") && key.contains("name=jsp")){    Object value = entry.getValue();    Object obj = getFieldValue(value,"object");    Object res = getResourceValue(obj);    Object instance = getFieldValue(res,"instance");    Object rctxt = getFieldValue(instance, "rctxt");    Object context = getFieldValue(instance, "context");    Object appContext = getFieldValue(context,"context");    Object standardContext = getFieldValue(appContext,"context");    Object filterConfigs = getFieldValue(standardContext,"filterConfigs");    ...

不过这种方式有较大的缺陷。首先,mbean只是资源管理,并不影响功能,所以在植入内存码后再卸载掉注册的mbean即可绕过;其次,servlet 3.0引入了 @WebFilter 可以动态注册,这种也没有在web.xml中配置,会引起误报,因此仅可作为一个查找风险类的参考条件。

0x05 检测是否为内存码

遍历风险类列表,并检测以下规则:

  1. 内存马,对应的ClassLoader目录下没有对应的class文件
2ec83e36b5963b3dd8e36f57d16bcea7.png

2.反编译该类的字节码,检查是否存在危险函数

a7c0fe116ed332d6578794dd4015f40b.png

结果输出参考:如果没有class文件,可将该类风险等级标为high。如果包含恶意代码,将该类风险等级调至最高级。

da64b1955ea85e2b0338edfb1cfc5e01.png

0x06 小结

本文仅对Tomcat内存码的检测提供了一些思路,但并未提及查杀,查杀将在下一篇详细分享。

以上所有方法的黑名单列表仅供参考,可自行更改、扩充。

再次感谢 fnmsd、c0ny1、LandGrey 师傅们的大力支持。

weixin_39860946
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DuckMemoryScan:检测绝大部分所谓的内存免杀马
03-04
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木马,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!本工具不能代替杀毒软件!!! 运行截图 功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测) 可疑进展检测(主要针对有逃避性质的进展[如过期签名与多部分细分段]) 无文件落地木马检测检测所有已知内存加载木马) 简易rootkit检测检测证书过期/拦截复制/证书无效的驱动) 检测异常模块,检测绝大部分如“ iis劫持”的后门(2021年2月26日添加) 免杀木马检测原理: 所有所谓的内存免杀后门大部分基于“ VirtualAlloc”函
自动检测Tomcat是否正常运行.zip
08-08
在这个场景中,我们关注的是Apache Tomcat,一个广泛使用的Java Servlet容器,用于部署和运行Java web应用。"自动检测Tomcat是否正常运行.zip"这个压缩包提供了关于如何监测Tomcat服务是否正常运行的方法。以下是...
Tomcat Filter内存
feng的博客
11-02 758
前言 之前学了flask的内存马,一直都想学学Java内存马,所以就学了Tomcat Filter内存马,感觉还是太菜了呜呜呜好难看不太懂。最近学Java写下的文章都不太想发出来了,因为自己本身就没搞懂,都是迷迷糊糊的,看着各种文章上面说是怎么怎么样,然后分析了一波,给出了POC和结论,我是除了会用POC其他一点都没看太懂,只能说自己还是太菜了呜呜呜。 主要跟着天下大木头师傅的文章进行学习。 POC 注意命令执行那里放的是windows的,linux用注释里面的。 <%@ page import="
2024年网络安全最新Java安全之反序列化回显与内存(1),2024年最新从零开始学网络安全编程
最新发布
2401_84519998的博客
05-12 1124
根据Litch1师傅的思路来寻找request,response对象全局存储的位置基于全局储存的新思路 | Tomcat的一种通用回显方法研究根据该文章思路得知,在Tomcat启动的时候会调用该位置的dorun方法由图可见,调用栈会来到创建Http11Processor对象这一步,Http11Processor继承AbstractProcessor类。而AbstractProcessor类中可见有Request,Response这两对象。并且为final修饰的,赋值后不可被更改。
HVV之内存检测工具
公众号:乌云安全
09-23 714
一个简单寻找包括不限于iis劫持,无文件木马,shellcode免杀后门的工具,本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译。本工具不能代替杀毒软件。功能列表HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])无文件落地木马检测(检测所有已知内存加载木马)
tomcat内存检测
龙行天下的专栏
06-16 806
tomcat6以上版本增加了内存检测的功能,有时避免显示相应的内容,可以采用下面方式就行屏蔽。 下面可以进一步屏蔽gc问题 gcDaemonProtection="false"/>
Shiro注入内存
Le1a's Blog
10-21 1907
前段时间学习了在Shell中如何注入Filter型内存马,搞忘了写博客了,这里重新来记录一下过程。这里直接选择用CB链来打,CB链忘记了可以看前面的文章:https://www.le1a.com/posts/a5f4a9e3/
Tomcat停止与启动shell
03-24
标题 "Tomcat停止与启动shell" 指的是一个用于管理Tomcat服务器的脚本,通常这个`restart.sh`文件是用来自动化Tomcat服务的启动和停止操作的。Tomcat是Apache软件基金会的一个开源项目,是一个广泛使用的Java ...
linux tomcat监听自动重启脚本
06-25
在Linux服务器环境中,Tomcat作为一个广泛使用的Java应用服务器,经常被用来部署Web应用程序。然而,由于各种原因(如内存溢出、系统崩溃或错误配置),Tomcat可能会意外停止工作,影响服务的正常运行。为了解决这个...
tomcat7 tomcat 6 xshell6.zip
07-24
3. **内存泄漏检测**:通过改进的内存泄漏检测机制,帮助开发者识别和解决潜在问题。 4. **更好的并发性能**:优化了线程池,提升了并发处理能力。 【xShell 6详解】 xShell 6是NetSarang Communications Inc.开发...
常用shell 脚本,dos攻击防范,
05-26
常用shell脚本, Dos攻击防范(自动屏蔽攻击IP).sh 一键部署等等 Linux系统发送告警脚本.sh MySQL数据库备份单循环.sh MySQL数据库备份多循环.sh ...自动发布Java项目(Tomcat).sh 自动发布PHP项目脚本.sh
shiro_attack:shiro反序列化进攻综合利用,包含(回显执行命令注入内存马)
03-11
shiro反序列化进攻综合利用 项目基于javafx,利用shiro反序列化扩展进行回显命令执行以及注入类别内存马 检出唯一密钥(SimplePrincipalCollection)cbc / gcm Tomcat / Springboot回显命令执行 集成公用集合K1 / K2 通过POST请求中defineClass字节实现注入内存马(Servlet实现参考哥斯拉内存马) resources目录下shiro_keys.txt可扩展键 关于内存马 某些spring环境以jar包启动写shell麻烦 渗透中找目录很烦,经常出现各种写壳浪费时间问题 无落地文件舒服 错误修复 2020.11.08 高低版本base64库不一致,当前使用org.apache.shiro.codec.Base64避免此问题 2020.11.10 修复注入内存马都显示注入成功的错误。 2020.11.23
Shiro-EXP:Apache Shiro 反序列化漏洞检测与利用工具,一键注入内存
05-26
项目介绍 基于Apache Shiro反序列化漏洞进行利用链的探测,附内存马。 利用时需要修改POST请求两处数据,分别为Header头RememberMe字段值和携带的data数据(由于payload设定,data中须指定名字为c的参数值)。 探测到利用链后,根据提示,将屏幕输出的payload粘贴至POST请求Header头RememberMe字段处,至于data携带的数据,自行决策,本文文末附内存马,可直接粘贴至data中使用,或自行生成指定命令的字节片段替换。 与项目相关文章首发于: Shiro exp使用手册 Shiro rememberMe反序列化漏洞 漏洞原理 Apache Shiro框架提供了记住密的功能(RememberMe),用户登录成功后会生成经过加密并编的cookie,服务端对rememberMe的cookie值先base64解然后AES解密再反序列化,就导
memshell:Tomcat 冰蝎内存
04-13
Tomcat 无文件冰蝎内存马 使用以下命令创建tomcat容器,并将inject.jar,agent.jar复制到容器中。 docker run -d -ti --net host --name tomcat tomcat:8.0.18-jre8 docker cp inject.jar tomcat:/usr/local/tomcat docker cp agent.jar tomcat:/usr/local/tomcat 使用以下命令将其注入到tomcat进程中。 java -jar inject.jar 123 通过behinder.jar连接内存冰蝎马,url格式: http://ip:port/1.jsp?pass_the_world=123&model=chopper 密: rebeyond
apache-tomcat-8.0.38-windows-x64
03-30
Apache Tomcat是一款开源的Java应用服务器,主要用于运行Java Servlet和JavaServer Pages(JSP)技术。这个"apache-tomcat-8.0.38-windows-x64"是Tomcat的8.0版本,适用于64位Windows操作系统。在这款软件包中,你将...
tomcat Mac
03-24
Tomcat会自动检测并部署它们。例如,如果你有一个名为`myapp.war`的应用,只需将其放入`webapps`目录,Tomcat重启后即可访问`http://localhost:8080/myapp`。 **六、管理Tomcat** Tomcat提供了一个管理Web应用的...
内存中的代
sjxbf的专栏
06-12 744
#include using namespace std;int a;int main(){ int i; unsigned char* c; a = 5; //00401358 mov dword ptr [a (00439490)],5 c = ((unsigned char*)0x00401358); //0x00401358 内存中a=5的起始地址 for (i = 0; i {
学习了解内存马,看这篇就够了!(精华版)
MachineGunJoe666
06-21 1万+
目录 介绍: 一、内存马简介 1.1 webshell变迁 1.2 如何实现webshell内存马 1.3 内存马类型 二、背景知识 2.1 Java web三大件 2.2Tomcat 2.3 其他java背景知识 三、内存马实现 四、内存检测与排查 4.1源检测 4.2 内存马排查 介绍: 内存马,也被称为无文件马,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到..
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存马是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存马因其隐蔽性等优点从而越来越盛行。
java怎么写shell_使用Java来写shell
06-01
Java可以通过在代中调用操作系统命令来实现类似shell的功能。可以使用Java Runtime类中的exec()方法来执行命令,并将结果输出到控制台或文件中。下面是一个示例代: ```java import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; public class ShellCommand { public static void main(String[] args) { String command = "ls -al"; try { Process process = Runtime.getRuntime().exec(command); BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream())); String line; while ((line = reader.readLine()) != null) { System.out.println(line); } reader.close(); } catch (IOException e) { e.printStackTrace(); } } } ``` 在上面的代中,我们执行了一个简单的命令 "ls -al",并将结果输出到控制台。我们可以通过更改command变量来执行任何其他的命令。需要注意的是,在执行命令时需要处理可能出现的异常,例如I/O异常等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值