Web攻防之应急响应(二)

前提

🍔学习Java内存马前置知识

内存马

内存马的介绍

内存马的类型众多

内存马的存在形式

Java web的基础知识：

Java内存马的排查思路：

🍔开始查杀之前的需要准备

1.登录主机启动服务器

2.生成jsp马并连接成功

3.生成tomcat内存马🐴并注入

前提

本篇是对自己学过的应急响应的知识的一个回顾,主要包含对常见工具(哥斯拉和冰蝎)的网站应急排查并对服务器的JAVA内存马的查杀,在弱鸡师傅的基础上结合我个人的学习和总结并对弱鸡师傅的教学中省略的操作进行一步一步详细的总结和图文介绍.

因为内容过多,所以就不都直接复制过来了,如果想看完整的总结笔记的师傅直接复制下面的文件连接可以直接进行查看

Java内存马查杀技术，手工&工具检测 https://flowus.cn/share/a2fa79e2-1b63-47b9-897f-7f1038a33d75?code=BE2FT6

🍔学习Java内存马前置知识

需要对下面的知识进行一定的了解:

内存马

内存马的介绍

常规的Webshell基于文件类形式存在，而内存马是一种无文件攻击手段，因此也被称为不落地马或者无文件马。因为常规的Webshell有文件落地，所以被发现的机率较大。而内存马存在于内存中，降低被发现的概率，给检测带来巨大难度，通常被作为后门进行使用，持久化地驻留在目标服务器中。

内存马的类型众多

根据不同的脚本类型，存在各种触发机制不同的内存马，没有稳定的静态特征，易于混淆，常规的WAF安全产品难以检测。

内存马的存在形式

内存马仅存在于进程的内存空间中，系统层面的安全检测工具无法检测出内存马。

Java web的基础知识：

基本记住常见工具的内存马🐴类型一般为Filter和Servlet类型的

Listener(基本功能是监听运行过程中出现的错误,进行日志记录)

Listener也称之为监听器，可以监听Application、Session和Request对象的创建、销毁事件，以及监听对其中添加、修改、删除属性事件，并自动执行自定义的功能。

Filter(对访问控制,以及在请求响应中需要加一些固定的请求或响应信息等)

Filter也称之为过滤器，可以动态地修改HttpServletRequest，HttpServletResponse中的头和数据。

Servlet(对业务逻辑进行处理的部分)

Servlet是运行在 Web 服务器或应用服务器上的程序，它是作为来自 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。它负责处理用户的请求，并根据请求生成相应的返回信息提供给用户。Servlet 可以理解为某一个路径后续的业务处理逻辑。

Tomcat 的本质其实就是一个 WEB 服务器 + 一个 Servlet 容器，那么它必然需要处理网络的连接与 Servlet 的管理，因此，Tomcat 设计了两个核心组件来实现这两个功能，分别是连接器和容器，连接器用来处理外部网络连接，容器用来处理内部 Servlet，我用一张图来表示它们的关系：

当然针对不同的java中间件(tomcat)，用到的东西也不一样,比如 tomcat jboss weblogic等等中间件

Java内存马的排查思路：

先判断是通过什么方法注入的内存马🐴，可以先查看web日志是否有可疑的web访问日志，如果是Filter或者Listener类型就会有大量URL请求路径相同参数不同的，或者页面不存在但是返回200的，查看是否有类似哥斯拉、冰蝎相同的url请求，哥斯拉和冰蝎的内存马注入流量特征与普通 Webshell的流量特征基本吻合。

通过查找返回200的URL路径对比Web目录下是否真实存在文件，如不存在大概率为内存马。如在Web日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，排查中间件的error.log日志查看是否有可疑的报错，根据注入时间和方法根据业务使用的组件排查是否可能存在Java代码执行漏洞以及是否存在过Webshell，排查框架漏洞，反序列化漏洞。