蓝队技能-应急响应篇&Web内存马查杀&JVM分析&Class提取&诊断反编译&日志定性

知识点:

1、应急响应-Web内存马-定性&排查

2、应急响应-Web内存马-分析&日志

注:传统WEB类型的内存马只要网站重启后就清除了。

演示案例-蓝队技能-JAVA Web内存马-JVM分析&日志URL&内存查杀

0、环境搭建

参考地址:https://blog.csdn.net/weixin_45910254/article/details/129694499

安装tomcat

安装jdk

配置setclasspath.bat


启动startup.bat






1、查杀脚本-java-memshell-scanner

项目地址:https://github.com/c0ny1/java-memshell-scanner

通过jsp脚本扫描并查杀各类中间件内存马,比Java agent要温和一些。




要想删掉内存马直接点击kill即可

2、监控项目-arthas

项目地址:https://github.com/alibaba/arthas

arthas为一款监控诊断产品,通过全局视角实时查看应用load、内存、gc、线程的状态信息。可使用该工具对内存马排查和分析,如攻击者隐藏的深可将所有的类都反编译导出来然后逐一排查。

查看URL路由(看Servlet内存马,Filter看不到)

bash 复制代码
mbean | grep "name=/"



sc查看JVM 已加载的类信息

bash 复制代码
sc *.Filter






bash 复制代码
sc *.Servlet



有怀疑的就可以dump下来去分析源码

jad反编译指定已加载类的源码(在线看)

bash 复制代码
jad --source-only org.apache.coyote.type.PlaceholderForType


dump已加载类的bytecode到特定目录(下载)

bash 复制代码
dump org.apache.coyote.type.PlaceholderForType




能看到源码之后就分析源码中是否有跟webshell有关的代码,如果看不懂或者懒得看,可以把这个源码放到java文件里上传到微步在线分析



3、GUI项目

项目地址:https://github.com/4ra1n/shell-analyzer

实时监控目标JVM,一键反编译分析代码,一键查杀内存马


4、学习资料

https://github.com/Getshell/Mshell

相关推荐
sbjdhjd14 天前
从零搭建企业级 CI/CD(下):Jenkins+GitLab+Harbor 全链路实战指南
git·servlet·ci/cd·云原生·云计算·gitlab·jenkins
ywl47081208715 天前
springSecurity+jwt,简单版demo
java·前端·servlet
飞天狗11115 天前
零基础JavaWeb入门——第五课第一小节:九大内置对象 · 第1个:request(请求对象)
java·开发语言·前端·后端·servlet
飞天狗11116 天前
零基础JavaWeb入门——第4课:表单处理 —— 浏览器怎么把数据发给服务器
java·开发语言·前端·后端·servlet
未若君雅裁18 天前
责任链模式详解:从Servlet过滤器到订单创建流程
servlet·责任链模式
逢君学术论文AI写作18 天前
Java第22课:Servlet获取请求参数+POST请求+表单交互
java·servlet·ai写作
逢君学术论文AI写作18 天前
Java第21课:JavaWeb入门——Tomcat+第一个Servlet
java·servlet·tomcat
就叫_这个吧18 天前
Java使用tomcat+servlet+filter实现简单的登录功能,需先登录再进行页面数据管理操作
java·开发语言·servlet·tomcat·jsp·filter
wangyadong31719 天前
rancher 安装jenkins 。国内镜像太头疼
servlet·jenkins·rancher
就叫_这个吧22 天前
IDEA中Javaweb项目创建+servlet,实现简单的信息录入获取
java·servlet·intellij-idea·web