type
status
date
slug
summary
tags
category
icon
password
存在的价值:webshell需要落地,可面临被edr或边界流量审计等设备干掉 内存马不需要落地,运行在服务器内存中
1.环境准备
冰蝎,哥斯拉模拟webshell 部署tomcat
点击manager app输入默认口令
访问测试
冰蝎连接
哥斯拉shell
通过tomcat部署之后通过webshell连接
获取java-webshell
②请求头中带有固定的Accept和Accept-Language,且不可自定义
③大片无参数的请求体
哥斯拉注入内存马:
进入shell后选择memeoryshell模块,根据路径注入
可通过serletmanage模块检测是否注册成功
蚁剑:
jsp流量特点:
①响应包中的setcookie字段
②默认情况下大部分请求头缺失
可选择通过蚁剑注入冰蝎或哥斯拉的内存马
查杀
由于内存马的特性故系统文件中不会存在浏览器中访问gos/test路径返回200
工具:
判断是否中了内存马: https://github.com/c0ny1/java-memshell-scanner 但无法覆盖部份内存马
练习查看该工具是否能查出其他webshell生成的木马
日志:
大量访问同一个文件,并且文件不存于服务器内
以毒攻毒:
将自己的哥斯拉webshell上传至客户服务器
可通过serletmanage模块检测是否存在哥斯拉内存马
内存马的特点为基本上没有指向的具体方法,后面会标注为空
哥斯拉中内置两种内存马的插入,及删除
内存分析:
例:
https://github.com/jar-analyzer/jar-analyzer
通过筛查存在时间戳的信息基本上为哥斯拉的内存马,若要系统热删除,需要定位到系统的临时目录下清除文件
重点筛查,在当前服务内存中是否存在以下字段
注:java版本建议8,tomcat8,最简单的办法为先下线服务、修复漏洞,重启