什么是内存马 如何检测webshell木马文件

        内存马,也就是无文件格式webshell,检查难度系数很大,运用分布式数据库(apache、mvc这种)去运行恶意程序。适合情景为一些web应用为jar包运行,无网站文件目录、想写文件格式找不着网站文件目录相对路径等。内存马的注入一般搭配反序列化安全漏洞开展运用,如spring反序列化安全漏洞、fastjson反序列化、weblogic反序列化这种;也是有先提交着地文件格式,随后浏览注入内存马的,这类实际上 没有什么必要性,暂时性忽视。

outputo-20211013-092113-643-kbzq.png

1个最实用的内存马方式便是https://ip:port/shell?命令提示符=whoami,这儿网站服务器上是沒有shell这一文件格式的,利用浏览shell这一url并传到指定的主要参数,便能够运行命令。

这儿同时能够见到shell?命令提示符=whoami这一相对路径显著存在不足,实战演练下,内存马的浏览相对路径与不相干,能够是/css样式/style.css样式等静态数据资源文件格式的相对路径,也能够自定为/userLogin这种具有欺骗性的相对路径,无论相对路径文件格式是不是存有,只须要传到指定的post请求给分布式数据库就可以,隐秘性极高。fastjson反序列化安全漏洞中,能够从远端网站服务器载入class,或是在bcel代码中,无论展现方式是啥,最终的反序列化在16进制展现上都是会以ACED打头。检查与防护,针对以上的一些攻击数据流量,攻击是不是取得成功一般会根据请求头和回应体去分辨,针对post请求体须要复原出实际实际操作,回应体的情况下仅作参照,由于网络攻击者在反序列化后能够随便自定回应体信息。针对反序列化的检查防护,这里不为实际的反序列化安全漏洞来说,反而是以它最终的实际操作——运行命令来分辨。这须要监控主机上的状况,这儿运用一个商品镜姬来检测。应用刚开始的NC和fastjson运行命令,这儿同时将命令用请求头传送,回显放到回应头上,具体情况下网络攻击者能够将其随便掩藏。

都是会触发了RCE运用报警,由于检查到了网站服务器运行了whoami实际操作。能够见到将进程树信息详尽显示信息出,很清晰的见到网站服务器运行的whoami命令,而且是由用友这一服务造成的,这便能够精确定位到存有安全漏洞的web应用。

分享: