ECSC课堂 | 3分钟 get 内存马查杀!

最新推荐文章于 2024-06-11 16:38:56 发布
最新推荐文章于 2024-06-11 16:38:56 发布
阅读量456 收藏 3
点赞数 1
文章标签: java servlet 开发语言 网络安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2MTAxOTg1OQ==&mid=2650054561&idx=1&sn=b2d80ae9a87bf39b1df95ecb3430cb85&chksm=f260fe1dc517770b4fd015e089d2cd795afdf40524ad114ff90b10eb77606c9f13cded5bc220&token=916536077&lang=zh_CN#rd
版权

常规的Webshell基于文件类形式存在,而内存马是一种无文件攻击手段,因此也被称为不落地马或者无文件马

因为常规的Webshell有文件落地,所以被发现的机率较大。而内存马存在于内存中,降低被发现的概率,给检测带来巨大难度,通常被作为后门进行使用,持久化地驻留在目标服务器中。

1、内存马检测难点

内存马的类型众多

根据不同的脚本类型,存在各种触发机制不同的内存马,没有稳定的静态特征,易于混淆,常规的WAF安全产品难以检测。

各种类型的“马” 

内存马的存在形式

内存马仅存在于进程的内存空间中,系统层面的安全检测工具无法检测出内存马。

2、Java Servlet 内存马

Java Servlet 内存马攻击原理

Java Servlet 的实现原理,如下图:

客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,而内存马利用在请求过程中在内存中修改或动态注册新的组件,达到注入Webshell的目的。

Java Servlet 内存马检查方式

(1)使用工具Arthas发现内存马。Arthas是一款开源的Java诊断工具,基本使用场景是定位复现一些生产环境比较难以定位问题。可以在线排查问题,以及动态追踪Java代码,实时监控JVM状态等等。

java -jar .\arthas-boot.jar   #java应用进程PID,如下图:

输入Mbean 查看或监控 Mbean 的属性信息,根据哥斯拉内存马的特性,进行筛选出异常组件,如下图:

(2)使用cop.jar工具提取Java内存马。把工具放在网站根目录下,输入:java -jar cop.jar -p,如下图:

(3)使用D盾工具对.copagent目录进行查杀,如下图:

除上述Java Servlet内存马的查杀方法外,如需了解更加全面的内存马查杀方法,以及更多的网络安全技术,持续关注安胜网络哦~

更多推荐

ECSC课堂 | Apache安全事件排查

ECSC课堂 | 应急响应之Linux主机排查(一)

ECSC课堂 | 应急响应之如何快速定位Webshell文件?

安胜ANSCEN
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DuckMemoryScan:检测绝大部分所谓的内存免杀
03-04
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!本工具不能代替杀毒软件!!! 运行截图 功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测) 可疑进展检测(主要针对有逃避性质的进展[如过期签名与多部分细分段]) 无文件落地木检测(检测所有已知内存加载木) 简易rootkit检测(检测证书过期/拦截复制/证书无效的驱动) 检测异常模块,检测绝大部分如“ iis劫持”的后门(2021年2月26日添加) 免杀木检测原理: 所有所谓的内存免杀后门大部分基于“ VirtualAlloc”函
查杀内存工具
weixin_46211944的博客
09-23 513
查杀内存工具。
Java内存 原理、实战与查杀
最新发布
weixin_46318447的博客
06-11 1259
内存原理 、实战与查杀
在校自研内存查杀工具,非常实用
stopys6的博客
09-07 548
该工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
在校自研内存查杀工具,非常好用
stopluox的博客
09-20 133
该工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
内存查杀工具FindShell试用
HRay's blog
03-17 6451
首先使用冰蝎创建一个内存 成功进入内存界面 接下来尝试使用findshell查杀,项目主页为 https://github.com/4ra1n/FindShell 服务器上首先部署代码,执行 git clone https://github.com/4ra1n/FindShell.git 然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装) mvn package 打包后在targe..
ECSC:帆船俱乐部的定制数据库应用程序
04-01
ECSC,全称为“帆船俱乐部的定制数据库应用程序”,是一个专为管理帆船俱乐部会员资格而设计的软件系统。这个程序的核心目标是提供一个高效、便捷的平台,以处理俱乐部的日常运营,如会员信息管理、人员调度、文档...
物流园区碳中和指南 ECSC&京东物流 2022.pdf
07-01
《物流园区碳中和指南 ECSC&京东物流 2022》是针对物流行业中实现碳中和目标的专业性指导文件。本指南旨在为物流园区的运营者、管理者以及相关企业提供一套全面、实用的方法和策略,以降低碳排放,推动可持续发展。 ...
analogi-ecsc:适用于PHP-7.x和ossec 2.9.x的OSSEC图形Web界面
04-30
类比 适用于PHP-7.x和ossec 2.9.x的OSSEC图形...=有关AnaLogi的信息= 对OSSEC图形Web界面的一些贡献。 ... OSSEC 2.9.x ... Debian / Ubuntu 16.04 阿帕奇2.4 MySQL 5.x / MariaDB Mozilla Firefox / Internet Explorer ...
CSFB时延较长优化方案.pdf
08-17
7. 开启 ECSC Classmark 早送控制 8. 资源分配监视时长 通过调整这些参数,我们可以看到,三个参数的修改对 CSFB 时延有明显的影响:LTE 侧无线参数 “LTE 寻呼 DRX 循环周期”,GSM 核心网参数 “开启选择性鉴权”...
Capture-the-Flag_Secrets.pdf
09-10
ECSC比赛分为三个阶段:在线资格赛、国家级CTF和欧洲级CTF。比赛模式包括Jeopardy(问答式)和Attack and Defense(攻防混合模式)。 参赛者年龄限制在14-30岁,且不允许拥有硕士学位。每个国家的团队由两部分组成...
HVV之内存检测工具
公众号:乌云安全
09-23 711
一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译。本工具不能代替杀毒软件。功能列表HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])无文件落地木检测(检测所有已知内存加载木)
Filter/Servlet内存的扫描抓捕与查杀
Websec
05-30 679
1、GitHub - c0ny1/java-memshell-scanner: 通过jsp脚本扫描java web Filter/Servlet内存 0x01 简介 通过jsp脚本扫描并查杀各类中间件内存,比Java agent要温和一些。 0x02 截图 增加Listener型内存检测,如果不存在Listener则不显示该项 0x03 更多 Filter/Servlet内存的扫描抓捕与查杀 | 回忆飘如雪 ...
Java Agent型内存复现及清理
vlogFeynman的博客
05-07 2711
Java Agent型内存复现及清理 本文是对互联网上内存相关资源学习整理的笔记记录,参考文章如下 利用“进程注入”实现无文件复活 WebShell 基于javaAgent内存检测查杀指南 0x01 内存简介 ########### 0x02 java agent型内存 这里记录 memshell 的复现 准备条件:1. Tomcat环境 2. inject.jar agent.jar 访问web应用,输入url ,服务端返回正常结果 将inject.jar ag..
java内存分析集合
hongduilanjun的博客
04-04 5330
基于tomcat Servlet内存 web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
应急响应-网站入侵篡改指南_Webshell内存查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 1875
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站出现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
应急响应-网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
siu~
04-03 1180
网站入侵篡改防范应对指南 主要需了解:异常特征,处置流程,分析报告等 主要需了解:日志存储,Webshell检测,分析思路等
【应急响应】网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
今天是几号的博客
03-14 1980
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存。aspx内存查杀项目:ASP.NET-Memshell-Scanner-master。在日志里进行搜索,那些ip访问了gsl.aspx等后门文件。被注入内存之后,使用gsl可以直接连接任何路径"后门"火绒,管家,X60,Defender,Nod32等。5、在线webshell查杀-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南。
igh ethercat程序代码示例
05-09
以下是一个基本的EtherCAT主站程序示例,使用了IgH EtherCAT Master库: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <signal.h> #include <ecrt.h> #define EC_TIMEOUTMON 500 #define MAX_SLAVES 10 static volatile int run = 1; static ec_master_t *master = NULL; static ec_master_state_t master_state = {}; static ec_domain_t *domain = NULL; static ec_domain_state_t domain_state = {}; static ec_slave_config_t *slave_configs[MAX_SLAVES] = {}; static ec_slave_config_state_t slave_config_states[MAX_SLAVES] = {}; void signal_handler(int signum) { run = 0; } int main(int argc, char **argv) { if (argc < 2) { fprintf(stderr, "Usage: %s <config-file>\n", argv[0]); return -1; } if (signal(SIGINT, signal_handler) == SIG_ERR) { fprintf(stderr, "Failed to set signal handler\n"); return -1; } if (ecrt_master_open(&master, EC_RTAI_MASTER_ID)) { fprintf(stderr, "Failed to open EtherCAT master\n"); return -1; } if (ecrt_master_get_state(master, &master_state)) { fprintf(stderr, "Failed to get master state\n"); goto cleanup; } if (master_state.slaves_responding == 0) { fprintf(stderr, "No slaves found\n"); goto cleanup; } if (!(domain = ecrt_master_create_domain(master))) { fprintf(stderr, "Failed to create domain\n"); goto cleanup; } if (ecrt_master_activate(master)) { fprintf(stderr, "Failed to activate master\n"); goto cleanup; } if (ecrt_domain_reg_pdo_entry_list(domain, my_pdo_entries)) { fprintf(stderr, "Failed to register PDO entry list\n"); goto cleanup; } if (ecrt_domain_activate(domain)) { fprintf(stderr, "Failed to activate domain\n"); goto cleanup; } int num_slaves = ecrt_slave_config_count(master); if (num_slaves > MAX_SLAVES) { fprintf(stderr, "Too many slaves (%d > %d)\n", num_slaves, MAX_SLAVES); goto cleanup; } for (int i = 0; i < num_slaves; i++) { slave_configs[i] = ecrt_slave_config_create(master, i+1); if (!slave_configs[i]) { fprintf(stderr, "Failed to create slave configuration %d\n", i+1); goto cleanup; } if (ecrt_slave_config_pdos(slave_configs[i], EC_END, my_syncs)) { fprintf(stderr, "Failed to configure PDOs for slave %d\n", i+1); goto cleanup; } if (ecrt_slave_config_sdo8(slave_configs[i], 0x6060, 0x00, 0x01) || ecrt_slave_config_sdo32(slave_configs[i], 0x6064, 0x00, 1000000)) { fprintf(stderr, "Failed to configure slave %d\n", i+1); goto cleanup; } if (ecrt_slave_config_map(slave_configs[i], my_pdo_entries)) { fprintf(stderr, "Failed to configure mapping for slave %d\n", i+1); goto cleanup; } if (ecrt_slave_config_dc(slave_configs[i], 0x0300, 1000000, 1000000, 0, 0)) { fprintf(stderr, "Failed to configure DC for slave %d\n", i+1); goto cleanup; } if (ecrt_slave_config_get_state(slave_configs[i], &slave_config_states[i])) { fprintf(stderr, "Failed to get slave configuration state for slave %d\n", i+1); goto cleanup; } if (slave_config_states[i].state != ECSC_PRE_OP) { fprintf(stderr, "Slave %d is not in PRE_OP state\n", i+1); goto cleanup; } if (ecrt_slave_config_enable(slave_configs[i])) { fprintf(stderr, "Failed to enable slave %d\n", i+1); goto cleanup; } if (ecrt_slave_config_get_state(slave_configs[i], &slave_config_states[i])) { fprintf(stderr, "Failed to get slave configuration state for slave %d\n", i+1); goto cleanup; } if (slave_config_states[i].state != ECSC_SAFE_OP) { fprintf(stderr, "Slave %d is not in SAFE_OP state\n", i+1); goto cleanup; } } while (run) { ecrt_master_receive(master); ecrt_domain_process(domain); ecrt_master_send(master); usleep(1000); } cleanup: for (int i = 0; i < num_slaves; i++) { if (slave_configs[i]) { ecrt_slave_config_disable(slave_configs[i]); ecrt_slave_config_destroy(slave_configs[i]); } } if (domain) { ecrt_domain_deactivate(domain); ecrt_master_deactivate(master); ecrt_master_remove_domain(master, domain); ecrt_domain_free(domain); } if (master) { ecrt_master_close(master); } return 0; } ``` 请注意,此示例假设您已经定义了以下内容: - `my_pdo_entries`:一个 `ec_pdo_entry_info_t` 数组,定义了您的PDO映射表。 - `my_syncs`:一个 `ec_sync_info_t` 数组,定义了您的同步对象。 - 每个从站的对象字典中,索引 0x6060 子索引 0x00 包含了一个 "Modes of Operation" 属性,索引 0x6064 子索引 0x00 包含了一个 "Target Velocity" 属性。 请注意,此示例还使用了一个 `MAX_SLAVES` 常量,限制了程序最多可以处理的从站数量。您可以根据需要调整此常量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值