红队视角下Java内存马的应用

已于 2022-11-10 14:46:44 修改
阅读量863 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 内网渗透 文章标签: java servlet 服务器
于 2022-11-07 14:48:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/include_voidmain/article/details/127731047
本文介绍了Java内存马在攻防演练中的重要作用,详细讲解了内存马的原理,特别是Filter型内存马的工作机制。通过在请求过程中动态修改或注册组件,实现持久化控制服务器。文中还分享了Filter内存马的实现步骤,并提供了实战连接及源代码参考,以冰蝎马为例展示了如何在不同Tomcat版本中应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00声明
出品|长白山攻防实验室(ID:hellp)
以下内容,来自长白山攻防实验室作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

0x01前言

经过最近几年的攻防演练,内存马技术在打点中发挥越来越重要的地位,内存马相比传统的webshell,更容易躲避传统安全监测设备的检测,通常被用来做持久化,规避检测,持续驻留目标服务器中,本次主要结合攻防演练的经验来系统阐述内存马技术。

0x02 内存马原理

在介绍原理之前,我想大家都有这样一个困惑,在拿到webshell后,总担心自己的webshell被管理员和其他攻击队发现,从而不能持久化控制目标主机。所以学好内存马原理至关重要,Java内存马类型如下:

图片

其原理为客户端发起一个web请求,中间件的各个独立的组件Listener、Filter、Servlet会在请求过程中做监听、判断、过滤操作,内存马利用请求过程在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode达到持久化的控制服务器。

内存马优先级listener->filter->servlet,本文先讲fileter型内存马,想到fileter内存马首先要理解过滤链(FilterChain),在一个 Web 应用程序中可以注册多个 Filter 程序,也可以在web.xml注册多个组件,每个 Filter 程序都可以针对某一个 URL 进行拦截。如果多个 Filter 程序都对同一个 URL 进行拦截,那么这些 Filter 就会组成一个Filter 链(也称过滤器链)在开发中同时处理多个对象,要用doFilter进行处理。

0x03 内存马实现

我们已经了解了Filter内存马的原理,filter会创建FilterChain,这里注入Filter型内存马的3个对象的定义如下:

>filterDefs存放了filter的定义,比如名称跟对应的类
>filterConfigs除了存放了filterDef还保存了当时的Context
>FilterMaps则对应了web.xml中配置的

每个Filter执行完之后需要执行FilterChain#do-Filter放行,然后会继续进入到下一个filter,依次执行每个filter里面的doFilter()方法,而我们实现filter内存马也就是往FilterChain里加一个filter。

首先在filter里创建doFilter()方法,实现冰蝎马的请求,其中request方法是接受serlvet的请求,session获取session,利用pageContext.put方法进行保存信息。

最低0.47元/天 解锁文章
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3519
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
java内存
google20的博客
12-25 1459
filter,servlet,listener,valve,spring内存
java内存原理和检测方法
最新发布
m0_67170526的博客
04-02 1083
内存为现在的主流webshell技术之一, 一般存在于JAVA环境, ASPX环境也有内存,但是PHP没有(有不死,类似条件竞争)内存主要用途是做权限维持,特点是无文件,代码保存在内存中,导致值守人员不太好进行排查。
Java内存-Instrument
mole_exp的博客
04-20 1078
文章目录Java Instrument简介Java Agent 开发agentmain() 方法VirtualMachineAgent内存实现:Tomcat环境演示:Tomcat环境演示:Springboot环境Instrument内存的特点参考 Java Instrument简介 我们只要拥有一个web容器进程执行用户的权限,理论上就可以完全控制该进程的地址空间(更确切的说是地址空间中的非Kernel部分),包括地址空间内的数据和代码。OS层进程注入的方法有很多,不过具体到Java环境,我们不需要使用
Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 3047
内存原理 、实战与查杀
Java内存简单实现
派大星的博客
12-04 2706
Java内存
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1176
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
安全见闻笔记
weixin_74811095的博客
10-27 1437
本文全面探讨了网络安全的多个关键领域,包括渗透测试概念与实践、编程语言的选择、软件程序的安全性、网络基础、通讯协议的安全问题、硬件设备的网络安全、人工智能在网络安全中的应用、量子计算对网络安全的影响、二进制与网络安全的关系,以及网络安全热门证书的介绍和备考指南。文章强调了在不断演变的网络威胁面前,持续学习、实践和适应的重要性,以及通过专业认证提升个人技能的必要性。同时,文章也提醒读者在追求技术进步的同时,应保持谦逊和对知识无限性的认识,以促进个人成长和知识边界的扩展。
玄武计划--干中学,知行合一
程序员
01-31 1049
从开发转向安全需要思维转变,但你的代码阅读能力和系统理解力是巨大优势。建议每天保持4小时高强度实操(漏洞复现+工具开发),坚持3个月即可入门。作为开发者转型安全领域有一定优势,但需要系统学习网络安全知识。以下是针对你的情况(Java背景 + 快速入门)的。
网络安全专业名词解释
aixmmmlll的博客
05-16 4442
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
java内存学习与理解
Shanfenglan's blog
11-08 6834
文章目录1. 前置知识1.1 java web 核心组件listenerfilterfilter的生命周期filter链servlet2. tomcat2.1 核心组件1. connector组件2. container组件 1. 前置知识 1.1 java web 核心组件 首先我们得知道,java网站都一定会有一个web容器。 listener 本质是一个java类。 作用是监听Application、Session和Request三大对象创建或者删除,然后根据监听的结果来执行提前编写的代码。 可以简单
Java内存基础
m0_46317063的博客
02-05 454
filter内存基础
JAVA 内存
qq_43148822的博客
05-24 157
缺点:针对恶意代码的分析,如果恶意代码不是存在于该可疑的类中,而是通过多层的调用链调用的,分析的难度将大大增加,针对单个class的分析将无法有效的检测出。至此,已经成功将Java进程中的Servlet类修改,所有的请求都会经过内存的代码,攻击者构造特定格式的POST请求就会进入内存的代码逻辑中,执行恶意请求。我们可以同样利用Java 的Instrument机制,动态注入我们的检测Agent,获取JVM中所有加载的Class的数据,针对内存可疑的特征,让隐藏的内存现出原型。
士兵 java内存_学习笔记-士兵java-JAVA的面向对象与内存解析
weixin_33916124的博客
02-19 283
1. 类的定义:成员变量、方法① 声明成员变量格式:[] type [=defaultValue]; (例:private int id;)② 声明方法格式:[]([argu_list]){[]} (例:public int getAge() {return age;})2. 成员变量的默认值:成员变量类型      取值byte -------------------- 0short...
小谈java内存
shihui的博客
03-08 984
省流版Servlet 内存:通过动态注册恶意 Servlet 并绑定 URL 路由,当访问特定路径时触发恶意逻辑。Filter 内存:通过动态注册恶意 Filter 并配置路由,拦截请求时触发恶意逻辑。Listener 内存:通过动态注册恶意 Listener,当特定事件发生时(如应用启动、会话创建)触发恶意逻辑。
Java内存-Tomcat篇
mole_exp的博客
04-20 1403
Java安全_内存-Tomcat篇
Java内存使用
mudi13的博客
09-05 1413
对于终端安全:有文件监控、防篡改、EDR;对于后门:有 Webshell 查杀、流量监测;对于网络层面:有防火墙防止反连、反向代理系统隐藏真实 IP;等等。​ 目前主流的防御措施针对 Webshell 的静态检出率在 90% 以上,在部分环境下甚至完全无法落地,防御方可以做到快速应急响应。正因为这些限制,内存技术得以诞生并快速发展,无文件攻击、内存 Webshell、进程注入等基于内存的攻击手段也受到了越来越多的师傅青睐,在实战环境中已占得一席之地。
内存基础知识 Java
CodeShiftZ的博客
09-07 475
Java中有三种类加载器:引导类加载器(Bootstrap Class Loader)、扩展类加载器(Extension Class Loader)和应用程序类加载器(Application Class Loader)。内存(Memory Shellcode)是一种恶意代码注入技术,它利用软件漏洞或者其他方式将恶意代码加载到受感染的进程内存中,并在执行过程中劫持程序的控制流。在Java中,我们可以自定义类加载器,通过继承ClassLoader类并实现自己的加载逻辑来加载类。内存基础知识 Java
Java内存分配原理
weixin_33872566的博客
09-09 441
一般Java内存分配时会涉及到以下区域: ◆寄存器:我们在程序中无法控制 ◆栈:存放基本类型的数据和对象的引用,但对象本身不存放在栈中,而是存放在堆中 ◆堆:存放用new产生的数据 ◆静态域:存放在对象中用static定义的静态成员 ◆常量池:存放常量 ◆非RAM存储:硬盘等永久存储空间 Java内存分配中的栈 在函数中定义的一些基本类型的变量数据和对象的引用变量都在函数的栈内...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值