网络安全第113天

总结:

挖不到漏洞现在感觉就是不太可能,就是一个系统很了解,你就能知道这个系统的漏洞,这一套cmd架构都是通用的,挖就行了

本篇文章就是引用的知识点

Java 内存马应急响应与查杀全指南 - 808basy - 博客园

正题:

内存马如何手工排查?

简单的步骤,就是用调试工具,art阿里的

直接运行,然后调试出java程序,使用命令,然后看有哪些恶意的类,以及恶意的组件,进行排查,然后使用jad命令看源码,有没有命令执行的函数,有就清除,然后使用redefine修复(替换被修改的类)

  1. 动态清除:通过代码卸载(业务不可中断时)
    如果核心业务绝对不允许重启,需要编写特定的 JSP 脚本或利用 Arthas 动态注销组件。

利用 Arthas 的 redefine 或 retransform:

如果攻击者修改了正常的类(如 ApplicationFilterChain),可以将正常的 class 文件重新覆盖回去。

冰蝎2.0和3.0(aes加密和base64编码)的流量特征

2.0和3.0 ua头一直变换(内置16种ua头)

2.0 动态密钥,ua头一直变

3.0 使用固定的连接密钥

3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream

4.0 自定义传输协议就是连接密码,java与主机连接的端口在49700,使用长连接

哥斯拉

cookie值后面有分号

uA头默认是使用的JDK 信息(如 Java/1.8.0_121,具体取决JDK环境)

菜刀

有eval这些函数,base64加密、@ini_set("display_errors","0");@set_time_limit(0);

蚁剑

base64编码,ua头有蚁剑的相关信息

天蝎(ua头,xforward、conttent-type)

1.1 特征提取

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36 Edg/89.0.774.57

X-Forwarded-For: 144.251.152.2

Content-Type: application/octet-strea

相关推荐
云水一下25 分钟前
DVWA从入门到精通(十八):Cryptography(密码学问题)
web安全·密码学·dvwa
糖果店的幽灵1 小时前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
Joker时代2 小时前
重塑Web3安全防线:Vkey验证器正式登陆安卓与iOS平台,开启数字资产防护新纪元
安全·web3
科技发布2 小时前
有没有安全正规的广告交易平台?推荐传播易APP
安全
JL152 小时前
Agent工程-为什么Agent必须有观测和Tracing
服务器·网络·人工智能·安全
珠***格4 小时前
边缘计算+轻量化AI:台区储能四可装置的“智能大脑”
人工智能·分布式·安全·能源·边缘计算
GoFly开发者4 小时前
Go语言开发框架GoFlyGen新增 网站安全助手 插件,帮助开发者提供应用安全防护,保障平台系统数据安全。
网络·安全
笺落彼岸4 小时前
SpringBoot3 JDK17集成proguard实现混淆打包
安全·https
甄同学5 小时前
第十七篇:Bash Executor命令执行器,安全运行Shell命令
开发语言·安全·bash
h3guang Official5 小时前
K8s安全实战:从漏洞靶场到红蓝对抗
安全·容器·kubernetes