内存马概念

最新推荐文章于 2025-05-05 10:49:58 发布

煜磊

最新推荐文章于 2025-05-05 10:49:58 发布

阅读量368

点赞数

分类专栏：反序列化漏洞文章标签： web安全安全网络安全

本文链接：https://blog.youkuaiyun.com/weixin_42786460/article/details/134082416

版权

反序列化漏洞专栏收录该内容

11 篇文章

订阅专栏

内存马概念

文章目录

- 内存马概念

木马演变

在这里插入图片描述

内存使用条件

1. 禁止外联
2. 文件监控、查杀
3. spring Boot，不支持jsp文件

内存缺点

内存只有只要重启就会消失

JAVA Web三大组件

1. servlet 用来处理业务请求
2. filter过滤器用来过滤请求和响应
3. Listener 监听容器

Listener:监听器

1.servletContext监听:服务器的启动/停止时触发
2.session监听：session的建立/销毁时触发
	统计在线人数，session自动创建+1，sesison销毁-1
3.request监听：访问服务时触发

servelet请求流程

在这里插入图片描述

内存马分类

servlet-API类型：servlet、filter、 listener
框架类型：spring interceptor Controller （拦截器和控制层型）

内存演示

在这里插入图片描述

内存马植入方式

1.基于jsp webshell 植入内存马（上传文件）
2.基于javaweb   RCE漏洞植入内存马（真正的无文件）

案例

shiro反序列化漏洞、fastjson反序列化漏洞、log4j-JNDI、strusts反序列化、springcloud gatewy表达式漏洞

shiro反序列化漏洞植入内存马

利用工具
在这里插入图片描述

利用的流程

在这里插入图片描述

得到，放到rememberMe

在这里插入图片描述

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

煜磊

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

PHP内存马技术研究与查杀方法总结

不忘初心，护天下安全！

06-28

1078

内存马是无文件攻击的一种常用手段，随着攻防演练热度越来越高：攻防双方的博弈，流量分析、EDR等专业安全设备被蓝方广泛使用，传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到，内存马使用越来越多。由客户端发起的Web请求后，中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作，内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件，插入恶意的shellcode，达到持久化控制服务器的目的传统的Webshell

内存马分析总结

qq_38618396的博客

04-13

1827

文章目录TomcatTomcat环境搭建Servlet-API型Listener内存马Filter内存马Servlet内存马Valve内存马字节码增强型SpingSpring环境搭建拦截器Controller型 Tomcat Tomcat环境搭建 Servlet-API型 Listener内存马 Filter内存马 Servlet内存马 Valve内存马字节码增强型 Sping Spring环境搭建拦截器 Controller型 ......

参与评论您还未登录，请先登录后发表或查看评论

内存马

weixin_41335734的博客

08-07

291

内存马是一种恶意软件，它利用计算机系统中的内存漏洞，将恶意代码注入到目标机器的内存中，并利用该代码执行各种攻击操作。以下是关于内存马的详细解析：一、定义与特点定义：内存马是一种只在内存中运行，没有文件落地或者运行后能够删除自身的木马。它利用内存中的漏洞和机制，隐藏自己并执行恶意操作。特点：无文件落地：内存马不会在磁盘上留下...

30个木马的阴险伎俩与反击术，从零基础到精通，收藏这篇就够了！

最新发布

喜欢Python编程的程序员柚柚呀

05-05

614

木马，这玩意儿在网络安全圈子里，绝对是个让人头疼的角色。黑客绞尽脑汁藏匿它们，安全专家挖空心思揪出它们。今天，咱们就来扒一扒这30个木马的“障眼法”和“克星”，保证让你对网络安全这潭水，摸得更深！

Servlet内存马

angry_program的博客

07-08

2870

1. 何谓内存马？以Tomcat为例，内存马主要利用了Tomcat的部分组件会在内存中长期驻留的特性，只要将我们的恶意组件注入其中，就可以一直生效，直到容器重启。 Java内存shell有很多种，大致分为： 1. 动态注册filter 2. 动态注册servlet 3. 动态注册listener 4. 基于Java agent拦截修改关键类字节码实现内存shell 该文主要研究Servlet内存马的原理和实现。 2. 何为Servlet？ Tomcat 服务器是一个免费的开放源代

小谈java内存马

shihui的博客

03-08

959

省流版Servlet 内存马：通过动态注册恶意 Servlet 并绑定 URL 路由，当访问特定路径时触发恶意逻辑。Filter 内存马：通过动态注册恶意 Filter 并配置路由，拦截请求时触发恶意逻辑。Listener 内存马：通过动态注册恶意 Listener，当特定事件发生时（如应用启动、会话创建）触发恶意逻辑。

关于Java/Python/PHP 内存马

2301_80115097的博客

11-15

1222

因为内存马种类繁杂，每次都要翻看很多文章，又加上最近有某个大活动，因此就写了这篇文章来总结一下常见的3种语言（PHP、Python、JAVA）的内存马的注入方法和查杀方法，并尝试自己完成一个内存马查杀工具的实现。希望本篇文章能给师傅们带来一些启发。文章一长就难免在表达和准确性上有所疏漏，如有错误或不足，请师傅们指正。

SpringMVC配合Fastjson的内存马利用与分析1

08-03

SpringMVC 配合 Fastjson 的内存马利用与分析 ...本文介绍了 SpringMVC 配合 Fastjson 的内存马利用与分析，包括 SpringMVC 框架的基本概念、Fastjson 的反序列化漏洞、环境搭建、漏洞利用等方面的内容。

利用 Fastjson 注入 Spring 内存马，太秀了～！（csdn）————程序.pdf

12-04

综上所述，Fastjson 反序列化漏洞和 Spring MVC 动态注入控制器的概念可以结合起来，构建出一种无文件落地的内存马注入攻击。防范这种攻击的关键在于：避免使用易受攻击的 Fastjson 版本，对 JSON 输入进行严格的...

goby/use内存马

03-01

2. 内存马的概念，以及其在攻击中的作用。 3. Proof-of-Concept（POC）代码在安全研究和测试中的应用。 4. 信息安全的重要性，包括保护数据、防止未授权访问和保持系统稳定性。 5. 网络安全社区的动态更新和资源共享...

Goby内存马的自定义POC管理与实时更新

4. 内存马概念：内存马是指在服务器运行时动态加载到内存中，并且没有在磁盘上留下明显痕迹的恶意代码或后门。这种攻击手段通常用在Web应用安全领域，攻击者通过在运行时注入恶意代码，绕过传统的文件扫描和检测...

一文了解内存马

闵行小鱼塘

10-24

4480

随着攻防对抗的博弈愈发激烈，流量分析、EDR等专业安全设备被防守方广泛使用，传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到，webshell终于进入内存马时代，其关键在于无文件，利用中间件的进程执行恶意代码。本文试图进行一个学习，尽可能搞明白其来龙去脉

学习了解内存马，看这篇就够了！（精华版）_什么是内存马

yy1715713348的博客

03-23

2629

内存马，也被称为无文件马，是无文件攻击的一种常用手段。虽然由来已久，但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中，攻防演练从2016年的几家参演单位，到2020年扩充到了几百家参演单位，内存马也越来越多的被提起，逐渐成为了攻击方的“必备武器”，针对内存马的防护也越来越被重视。内存马是无文件攻击的一种技术手段，那我们不得不先简单介绍一下无文件攻击。

学习了解内存马，看这篇就够了！（精华版）

热门推荐

MachineGunJoe666

06-21

1万+

目录介绍：一、内存马简介 1.1 webshell变迁 1.2 如何实现webshell内存马 1.3 内存马类型二、背景知识 2.1 Java web三大件 2.2Tomcat 2.3 其他java背景知识三、内存马实现四、内存马检测与排查 4.1源码检测 4.2 内存马排查介绍：内存马，也被称为无文件马，是无文件攻击的一种常用手段。虽然由来已久，但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中，攻防演练从2016年的几家参演单位，到2020年扩充到..

Java内存马简单实现

派大星的博客

12-04

2690

Java内存马

内存马实战（持续更新中）

qq_44657899的博客

05-16

4633

计划复现以下框架的内存马注入： shiro（aes base64 加密）普通内存马冰蝎马 WebSocket马 xxl-job filter马冰蝎马 netty内存马 agent内存马 JNDI（字节码里执行） SpringBoot spel表达式注入（spring cloud gateway） Struts2的ognl表达式注入 Tomcat的EL表达式注入参考：https://gv7.me/articles/2022/the-spring-cloud-gatewa

文件马和内存马

weixin_43172311的博客

08-25

294

文件马和内存马

内存马的简单认识

课嗨教育的专栏

04-26

5453

111

深入浅出内存马

superprintf的博客

07-17

573

上面的都是21年之前的东西了，现在是23年7月，显然已经过去了两年半，这两年半里还有很多技术的更新。不过技术更新应该也是针对Tomcat不同版本的增加。关于内存马的利用，也延伸到了其他组件。

tomcat内存马复现

04-01

### 关于Tomcat内存马漏洞复现的方法 #### 背景介绍 Tomcat 是一款广泛使用的开源 Web 应用服务器，支持 Java Servlet 和 JSP 技术。由于其开放性和灵活性，在实际部署过程中可能存在多种安全隐患，其中一种较为隐蔽的安全威胁就是 **内存马** 的利用方式[^3]。内存马是一种不依赖物理文件存储的恶意代码植入技术，通过动态加载的方式将恶意逻辑注入到 JVM 运行环境中，使得攻击者能够在无需留下任何磁盘痕迹的情况下实现远程命令执行或其他恶意行为[^4]。 --- #### 内存马的工作原理内存马的核心机制在于绕过传统的基于文件检测的安全防护手段。具体来说，它可以通过以下几种方式进行植入： 1. **修改已有类的行为**: 动态代理或反射技术可以改变某些核心组件的功能。 2. **注册自定义Servlet**: 利用容器特性向 Tomcat 注册新的 Servlet 实例来监听特定路径请求并返回恶意响应。 3. **使用Filter拦截器**: 插入过滤链中的 Filter 对象可以在每次 HTTP 请求到达之前或者之后实施控制操作。 4. **JNDI注入**: 如果应用程序允许外部配置资源绑定，则可能被用来引入危险对象实例化过程。这些方法均不需要创建额外的实际文件即可完成整个攻击流程。 --- #### 复现环境准备为了成功模拟一次针对 Tomcat 的内存马攻击实验，请按照如下步骤搭建测试平台： - 安装目标版本的 Apache Tomcat (需注意选择易受攻击的具体发行版号)[^2]; - 配置好 JDK 环境以及必要的开发工具; - 准备一台单独用于试验目的虚拟机或者其他隔离网络区域内的主机作为受害方节点; > 特别提醒：所有渗透测试活动都应在授权范围内开展，并严格遵循当地法律法规！ --- #### 具体实践案例——Servlet型内存马构建演示下面给出一段简单的 Java 代码片段展示如何手动构造一个基础形态下的 Servlet 类型内存马： ```java import javax.servlet.*; import javax.servlet.http.*; import java.io.*; public class MemoryShell extends HttpServlet { public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException{ String cmd = req.getParameter("cmd"); Process p = Runtime.getRuntime().exec(cmd); InputStream is = p.getInputStream(); BufferedReader br = new BufferedReader(new InputStreamReader(is)); StringBuilder sb=new StringBuilder(); String line=null; while( (line=br.readLine())!=null ) { sb.append(line).append("\n"); } PrintWriter out=res.getWriter(); out.println(sb.toString()); } } ``` 此脚本实现了基本功能：接收客户端 GET 参数 `cmd` 所指定的操作系统指令字符串参数并通过标准库函数调用本地 shell 来获取结果反馈给访问者。随后可通过某种途径（如 RCE 漏洞）将此类字节码序列传送到服务端内存空间内激活生效。 --- #### 注意事项尽管上述例子便于理解概念本身，但在真实世界场景下还需要考虑更多因素才能达到理想效果，比如规避杀软查杀、隐藏特征签名等等高级技巧。 ---