Java Tomcat内存马——filter内存马

目录

前言：

（一) 内存马简介

0X01 原理

0X02 内存马类型

2.1  servlet-api类

2.2  spring类

2.3 Java Instrumentation类

（二） filter 内存马

（三）Tomcat Filter 流程分析

0x01 项目搭建

0x02 在访问 /filter 之后的流程分析

 小结：

0x03 在访问 /filter 之前的流程分析

 总结调用过程

小结一下分析流程

（四）Filter 型内存马攻击思路分析

4.1 里面有三个和Filter有关的成员变量：

 它有三个重要的东西：

构造思路

（五） Filter 型内存马的实现

Filter 型内存马 EXP

完整EXP：

（六）排查 Java 内存马的几个方法

0x01 arthas

0x02 copagent

0x03 java-memshell-scanner

参考资料

---

（一) 内存马简介

---

内存马是无文件Webshell，就是服务器上不会存在需要链接的Webshell脚本文件。

0X01 原理

• 利用Java Web组件：动态添加恶意组件，如Servlet、Filter、Listener等。在Spring框架下就是Controller、Intercepter。
• 修改字节码：利用Java的Instrument机制，动态注入Agent，在Java内存中动态修改字节码，在HTTP请求执行路径中的类中添加恶意代码，可以实现根据请求的参数执行任意代码。