本文介绍了作者自研的内存马查杀工具,特别针对Tomcat和Spring类型的内存马,无需重启服务即可进行查杀。工具通过反射操作,能检测和删除listener、controller以及拦截器中的内存马,并实现了跨context应用,兼容Springboot环境。文中详细阐述了查杀方法和跨context的实现思路。
随着攻防演练的愈演愈烈,对抗的技术也在不断提升,在攻防演练中攻击者常常为了不留痕迹以及进行权限维持会注入内存马,在内存马中又以tomcat类型和spring类型较多。有些系统又比较关键,可能由于业务需要无法进行重启操作。所以作为苦逼的蓝队,我编写了一个全新的内存马工具。该工具可以发现攻击者的攻击行为,并在不重启的情况下杀掉内存马,且可以跨context使用,不必再在tomcat的每个应用中上传一个查杀文件。
在研发该工具之初是借鉴了c0ny1师傅的java-memshell-scanner思路,使用jsp文件进行操作,将该工具上传至服务器可解析jsp的目录即可使用,访问文件名并根据图形化界面对内存马进行查杀。
Tomcat类型内存马查杀方法
Tomcat内存马类型的查杀方式c0ny1师傅其实已经讲的很清晰了,这里我就不重复造轮子了。但是值得一提的是,c0ny1师傅对listener的清理方式似乎不太正确,因为tomcat内部并没有相关方法可以注销listener,所以这部分需要我们自己反射tomcat在注册listener时用的列表,然后对指定listener进行删除操作。具体流程如下:
在此我们还是需要回忆一下listener的注册流程,这个流程比较简单,我们直接从listener的class类打断点,然后启动tomcat。
在调用链中看到standardcontext点进去八成没错。
在listenerStart方法可以看到listener的注册过程,红圈圈出来的地方就是获取listener的过程。
在下方的setApplicationEventListeners方法(重要)进行设置
这个setApplicationEventListeners非常的有趣,他将原先的applicationEventListenersList先全部清空,然后再把传入的listeners对象组成的数组传入。applicationEventListenersList是从web.xml中获取的,也就是代码中原本注册的,攻击者如果注入Listener内存马,该内存马也会被保存到applicationEventListenersList之中。这里就会导致一个问题,如果我们反射调用setApplicationEventListeners,他会先清空原先所有的listener,然后我们只需先反射获取standardcontext的applicationEventListenersList字段,然后将攻击者的内存马名字取出来,在数组中进行删除,再反射调用setApplicat
最低0.47元/天 解锁文章
扫一扫
1397
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
