学习了解内存马，看这篇就够了！（精华版）

最新推荐文章于 2025-10-22 11:32:58 发布

原创

最新推荐文章于 2025-10-22 11:32:58 发布 · 1.5w 阅读

169 ·

CC 4.0 BY-SA版权

文章标签：

#linux #网络安全 #信息安全 #渗透测试 #Web安全

本文深入探讨了内存马的概念，包括其在Webshell中的演变、实现方式和类型。内存马利用无文件攻击技术，通过中间件执行恶意代码，避免文件落地，增加了检测难度。讲解了Java Web的三大组件（Servlet、Filter、Listener）以及Tomcat的工作原理，为理解内存马的实现提供了背景知识。此外，还介绍了内存马的检测与排查方法，包括源码检测和内存马排查思路。

介绍：

内存马，也被称为无文件马，是无文件攻击的一种常用手段。虽然由来已久，但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中，攻防演练从2016年的几家参演单位，到2020年扩充到了几百家参演单位，内存马也越来越多的被提起，逐渐成为了攻击方的“必备武器”，针对内存马的防护也越来越被重视。

内存马是无文件攻击的一种技术手段，那我们不得不先简单介绍一下无文件攻击。无文件攻击可以有效地躲避传统安全软件的检测，它们可以在系统的内存中远程加载执行、驻留在注册表中或滥用常用的白名单工具，例如PowerShell，Windows Management Instrumentation（WMI）和PsExec等。无文件攻击技术允许攻击者访问系统，从而启用后续的恶意活动。通过操纵漏洞利用程序、合法工具、宏和脚本，攻击者可以破坏系统、提升特权或在网络上横向传播恶意代码。而且，无文件威胁在执行后不会留下任何痕迹，这使其难以被检测和清除。

Webshell内存马，是在内存中写入恶意后门和木马并执行，达到远程控制Web服务器的一类内存马，其瞄准了企业的对外窗口：网站、应用。但传统的Webshell都是基于文件类型的，黑客可以利用上传工具或网站漏洞植入木马，区别在于Webshell内存马是无文件马，利用中间件的进程执行某些恶意代码，不会有文件落地，给检测带来巨大难度。而内存攻击者正是利用软件安全漏洞，构造恶意输入导致软件在处理输入数据时出现非预期错误，将输入数据写入内存中的某些特定敏感位置，从而劫持软件控制流、执行流，转而执行外部输入的指令代码，造成目标系统被获取远程控制，让内存马的攻击得以实现。

一、内存马简介

1.1 webshell变迁

webshell的变迁过程大致如下所述：

web服务器管理页面——> 大马——>小马拉大马——>一句话木马——>加密一句话木马——>加密内存马

内存马是无文件攻击的一种常用手段，随着攻防演练热度越来越高：攻防双方的博弈，流量分析、EDR等专业安全设备被蓝方广泛使用，传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到，内存马使用越来越多。

1.2 如何实现webshell内存马

目标：访问任意url或者指定url，带上命令执行参数，即可让服务器返回命令执行结果

实现：以java为例，客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件，我们只要在这个请求的过程中做手脚，在内存中修改已有的组件或者动态注册一个新的组件，插入恶意的shellcode，就可以达到我们的目的。

1.3 内存马类型

根据内存马注入的方式，大致可以将内存马划分为如下两类

1.servlet-api型
通过命令执行等方式动态注册一个新的listener、filter或者servlet，从而实现命令执行等功能。特定框架、容器的内存马原理与此类似，如spring的controller内存马，tomcat的valve内存马

2.字节码增强型
通过java的instrumentation动态修改已有代码，进而实现命令执行等功能。