总结:
挖不到漏洞现在感觉就是不太可能,就是一个系统很了解,你就能知道这个系统的漏洞,这一套cmd架构都是通用的,挖就行了
本篇文章就是引用的知识点
Java 内存马应急响应与查杀全指南 - 808basy - 博客园
正题:
内存马如何手工排查?
简单的步骤,就是用调试工具,art阿里的
直接运行,然后调试出java程序,使用命令,然后看有哪些恶意的类,以及恶意的组件,进行排查,然后使用jad命令看源码,有没有命令执行的函数,有就清除,然后使用redefine修复(替换被修改的类)
- 动态清除:通过代码卸载(业务不可中断时)
如果核心业务绝对不允许重启,需要编写特定的 JSP 脚本或利用 Arthas 动态注销组件。
利用 Arthas 的 redefine 或 retransform:
如果攻击者修改了正常的类(如 ApplicationFilterChain),可以将正常的 class 文件重新覆盖回去。
冰蝎2.0和3.0(aes加密和base64编码)的流量特征
2.0和3.0 ua头一直变换(内置16种ua头)
2.0 动态密钥,ua头一直变
3.0 使用固定的连接密钥
3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream
4.0 自定义传输协议就是连接密码,java与主机连接的端口在49700,使用长连接
哥斯拉
cookie值后面有分号
uA头默认是使用的JDK 信息(如 Java/1.8.0_121,具体取决JDK环境)
菜刀
有eval这些函数,base64加密、@ini_set("display_errors","0");@set_time_limit(0);
蚁剑
base64编码,ua头有蚁剑的相关信息
天蝎(ua头,xforward、conttent-type)
1.1 特征提取
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36 Edg/89.0.774.57
X-Forwarded-For: 144.251.152.2
Content-Type: application/octet-strea