内存马攻击

最新推荐文章于 2025-11-05 13:47:50 发布
原创 最新推荐文章于 2025-11-05 13:47:50 发布 · 1.3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文介绍了Webshell内存马,一种无文件的内存攻击手段,它通过在内存中执行恶意代码来控制Web服务器。针对Java Web应用,详细讨论了addFilter型和addServlet型的实现方式,并提及了无需上传文件的利用方法,如Shiro RememberMe 1.2.4漏洞。这些攻击方式因无文件落地而增加了检测难度。

概述

Webshell内存马,是在内存中写入恶意后门和木马并执行,达到远程控制Web服务器的一类内存马,其瞄准了企业的对外窗口:网站、应用。但传统的Webshell都是基于文件类型的,黑客可以利用上传工具或网站漏洞植入木马,区别在于Webshell内存马是无文件马,利用中间件的进程执行某些恶意代码,不会有文件落地,给检测带来巨大难度。
以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode,就可以达到我们的目的。

需要上传文件

addFilter型

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.io.IOException"%>
<%@ page import="javax.servlet.DispatcherType"%>
<%@ page import="javax.servlet.Filter"%>
<%@ page import="javax.servlet.FilterChain"%>
<%@ page import="javax.servlet.FilterConfig"%>
<%@ page import="javax.servlet.FilterRegistration"%>
<%@ page import="javax.servlet.ServletContext"%>
<%@ page import="javax.servlet.ServletException"%>
<%@ page import="javax.servlet.ServletRequest"%>
<%@ page import="javax.servlet.ServletResponse"%>
<%@ page import="javax.servlet.annotation.WebServlet"%>
<%@ page import="javax.servlet.http.HttpServlet"%>
<%@ page import="javax.servlet.http.HttpServletRequest"%>
<%@ page import="javax.servlet.http.HttpServletResponse"%>
<%@ page import="org.apache.catalina.core.ApplicationContext"%>
<%@ page import="org.apache.catalina.core.ApplicationFilterConfig"%>
<%@ page import="org.apache.catalina.core.StandardContext"%>
<%@ page import="org.apache.tomcat.util.descriptor.web.*"%>
<%@ page import="org.apache.catalina.Context"%>
<%@ page import="java.lang.reflect.*"%>
<%@ page import="java.util.
最低0.47元/天 解锁文章
Finlinlts
关注
内存Webshell详解
悦分享
11-08 5050
内存webshell相比于常规webshell更容易躲避传统安全监测设备的检测,通常被用来做持久化,规避检测,持续驻留目标服务器。无文件攻击内存Webshell、进程注入等基于内存攻击手段也受到了大多数攻击者青睐。内存是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到。因此内存近年来越来越被重视,逐渐成为了攻击方的“必备武器”,针对内存的防护也越来越被重视。
162、应急响应——网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
qq_55202378的博客
03-23 2080
→→→。
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3709
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
内存原理分析与检测技术
最新发布
bdfcfff77fa的博客
11-05 746
类型检测难度推荐检测手段类加载器注入★★★☆☆(中等)Heap Dump + MAT分析类加载路径反射机制调用★★☆☆☆(低)日志分析 + JVM Hook(如ByteBuddy)动态字节码生成★★★★☆(高)Agent Attach + 类结构比对(diff类文件)🔍 提示:实际环境中,攻击者常混合多种技术(如先反射调用再动态生成类),使得单一检测手段失效,需构建多层次检测体系(行为+静态+AI模型)。内存之所以难以被传统杀毒软件发现,是因为它。
深入研究Tomcat内存攻击技术
hackzkaq的博客
11-16 644
Tomcat内存(Tomcat Memory Shell)是一种利用Apache Tomcat服务器的漏洞,将恶意代码注入Tomcat进程的内存中的攻击技术ServletContextListener:用于监听整个 Servlet 上下文(创建、销毁)ServletContextAttributeListener:对 Servlet 上下文属性进行监听(增删改属性)ServletRequestListener:对 Request 请求进行监听(创建、销毁)
Java内存分配原理
weixin_33872566的博客
09-09 470
一般Java在内存分配时会涉及到以下区域: ◆寄存器:我们在程序中无法控制 ◆栈:存放基本类型的数据和对象的引用,但对象本身不存放在栈中,而是存放在堆中 ◆堆:存放用new产生的数据 ◆静态域:存放在对象中用static定义的静态成员 ◆常量池:存放常量 ◆非RAM存储:硬盘等永久存储空间 Java内存分配中的栈 在函数中定义的一些基本类型的变量数据和对象的引用变量都在函数的栈内...
内存攻击防范手册:Web应用防火墙的终极配置
内存攻击是一种新型的Web应用攻击方式,它通过在服务器的内存中植入恶意代码来实现攻击。这种攻击方式隐蔽性强,难以发现和防范。 ## 1.2 内存攻击的危害 内存攻击可能导致服务器数据泄露、服务中断,甚至被...
memshell-scanner工具如何帮助我们监控Java应用性能并防御内存攻击
10-25
在面对内存攻击时,能够迅速检测并响应是保障Java应用安全的重要措施。memshell-scanner工具通过其独特的实时监控和事后分析功能,提供了强大的防御能力。具体来说,这个工具首先利用规则引擎对运行时的Java应用...
如何使用memshell-scanner工具来检测Java应用中的内存攻击
10-25
memshell-scanner工具是专为Java内存攻击检测而设计,能够识别和防范在服务器内存中注入的恶意代码。首先,要确保理解内存攻击的原理和特征,这对于有效使用memshell-scanner至关重要。使用此工具,你需要进行...
在Java应用中如何利用memshell-scanner工具进行内存攻击的检测和防御?
10-26
使用memshell-scanner进行内存攻击的检测和防御,首先需要对Java应用的运行环境进行配置,以确保工具可以正确访问和分析内存状态。具体步骤包括: 参考资源链接:[java内存排查神器:memshell-scanner工具介绍]...
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
内存映射型内核级木的研究与改进
12-19
内存映射型内核级木的研究与改进.pdf
内存攻击
weixin_30249203的博客
03-18 232
内存攻击 攻击 在典型的缓存区溢出攻击中,攻击者会将一个精心设计的数据集植入线程的堆栈中,造成为其分配的缓存区溢出,并覆盖其他数据结构。攻击者尝 试覆盖的结构包括异常处理程序记录或函数的返回地址,以便将代码流更改为他们在内存中选择的位置。 保护 内存保护技术为阻止攻击者实现其目标提供了第一道防线。这些技术旨在提高漏洞攻击的难度。该技术的...
内存浅析
好记性不如烂笔头
10-30 2175
之前在jianshu上写了很多博客,但是安全相关的最近很多都被锁了。所以准备陆陆续续转到csdn来。内存前几年一直是个很热门的漏洞攻击手段,因为相对于落地的木,无文件攻击内存隐蔽性、持久性更强,适用的漏洞场景也更多。
用 Goby 通过反序列化漏洞一键打入内存【利用篇】
m0_46699477的博客
01-16 1314
Goby 使用者无需任何配置,就可以一键打入内存
Java漏洞之:内存攻击
2401_83384536的博客
04-09 1423
在上一小节Java原生远程进程注入中,我的POC里是通过反射创建了一个sun.tools.attach.VirtualMachineImpl类,然后再去调用类里面的enqueue这个Native方法。这时可能会有同学有疑惑,这个Native方法位于attach.dll,这个dll是JDK和Server-JRE默认自带的,但是这个sun.tools.attach.VirtualMachineImpl类所在的tools.jar包并不是每个JDK环境都有的。这个技术岂不是要依赖tools.jar?
今天,咱不讲三国,就聊聊Shiro的反序列化漏洞,以及内存技术!
localhost01
07-15 8185
Shiro反序列化漏洞 漏洞介绍 上图为Shiro默认的登录页面,页面可见:Shiro提供了记住我(RememberMe)的功能。 然而,Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行:序列化、AES加密、Base64编码,三个操作。 而在识别身份的时候,则需要对Cookie里的rememberMe字段进行逆操作: Base64解码 AES解密 反序列化 由于AES加密的密钥K
linux内存,警惕更多 Linux木的到来
weixin_29009081的博客
04-30 280
习惯了没有恶意软件骚扰的桌面Linux用户该长长心了,RSA一位研究员详细介绍了Hand of Thief木的存在,该病毒瞄准的就是Linux。网络情报专家Limor Kessem表示,Hand of Thief的行为与攻击Windows机器的恶意软件相似,就算用户使用HTTPS,一旦安装Hand of Thief,就能从Web窃取信息,创建一个后门程序访问指向受感染的机器,并尝试阻挡对反病毒更...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值