shiro 内存马_Tomcat 内存马检测
随着HW、攻防对抗的强度越来越高,各大厂商对于webshell的检测技术愈发成熟,对于攻击方来说,传统的文件落地webshell的生存空间越来越小,无文件webshell已经逐步成为新的研究趋势。
三月底针对tomcat内存马的检测写了一个demo,但由于对Maven打包理解不深,整个项目结构比较糟糕。
国庆前偶然发现LandGrey师傅的copagent项目,在该项目基础上进行了重构,并于本文中记录了检测思路,以及部分代码demo。
一、Java内存马简介
关于JAVA内存马的发展历史,这里引用下 c0ny1师傅的总结 。早在17年n1nty师傅的《Tomcat源码调试笔记-看不见的shell》中已初见端倪,但一直不温不火。后经过rebeyong师傅使用agent技术加持后,拓展了内存马的使用场景,然终停留在奇技淫巧上。在各类hw洗礼之后,文件shell明显气数已尽。内存马以救命稻草的身份重回大众视野。特别是今年在shiro的回显研究之后,引发了无数安全研究员对内存webshell的研究,其中涌现出了LandGrey师傅构造的Spring controller内存马。
从攻击对象来说,可以将Java内存马分为以下几类:
为方便学习,webshell demo已整理至github。
二、整体思路
无论是以上哪种攻击方式,从防守方的角度来说,检测的方式都是通过java instrumentation机制,将检测jar包attach到tomcat jvm,检查加载到jvm中的类是否异常。
整体检测思路为:
获取tomcat jvm中所有加载的类
遍历每个类,判断是否为风险类。我们把可能被攻击方新增/修改内存中的类,标记为风险类(比如实现了filter/servlet的类)
遍历风险类,检查是否为webshell:
检查高风险类的class文件是否存在;
反编译风险类字节码,检查java文件中包含恶意代码
三、获取jvm中所有加载的类
遍历java jvm,查找所有的tomcat jvm
通过java instrumentation,将agent attach到每个tomcat jvm。由于可能存在多个tomcat进程的场景,因此每个tomcat jvm均检测一遍
// 应对存在多个 tomcat 进程的情况
public static void attach(String agent_jar_path) throws Exception {
VirtualMachine virtualMachine = null
for (VirtualMachineDescriptor descriptor : VirtualMachine.list()) {
if (descriptor.displayName().contains("catalina") || descriptor.displayName().equals("")) {
try {
virtualMachine = VirtualMachine.attach(descriptor);
Properties targetSystemProperties = virtualMachine.getSystemProperties();
if (descriptor.displayName().equals("") && !targetSystemProperties.containsKey("catalina.home"))
continue;
// 将当前tomcat descriptor,传到agent,作为检测结果的文件名。也是用来区分多个tomcat进程。
String currentJvmName = "tomcat_" + descriptor.id();
Thread.sleep(1000);
javaInfoWarning(targetSystemProperties);
virtualMachine.loadAgent(agent_jar_path, currentJvmName);
} catch (Throwable t) {
t.printStackTrace();
} finally {
// detach
if (null != virtualMachine)
virtualMachine.detach();
}
}
}
}
3.遍历tomcat jvm 加载过的类
private static synchronized void detectMemShell(String currentJvmName, Instrumentation ins) {
// 获取所有加载的类
Class>[] loadedClasses = ins.getAllLoadedClasses();
}
四、风险类识别
最理想的做法是把所有加载的类都认定为风险类。但在绝大多数情况下jvm加载的都是正常的类,每次检查时,都dump所有加载的类,对于tomcat(用户侧)来说开销较大。
比较实际的做法是,根据已知内存马要新增/修改的类生成特征。
对于内存中的每一个类,递归检查其父类,然后将命中特征的类标记为风险类。
public static List> findAllSuspiciousClass (Instrumentation ins, Class>[] loadedClasses){
// 结果
List> suspiciousClassList = new ArrayList>();
List loadedClassesNames = new ArrayList();
// 获取所有风险类
for (Class> clazz : loadedClasses) {
loadedClassesNames.add(clazz.getName());
// 递归 检查class的父类 空或java.lang.Object退出
while (clazz != null && !clazz.getName().equals("java.lang.Object")) {
if (
ClassUtils.lsContainRiskPackage(clazz) ||
ClassUtils.isUseAnnotations(clazz) ||
ClassUtils.lsHasRiskSuperClass(clazz) ||
ClassUtils.lsRiskClassName(clazz) ||
ClassUtils.lsReleaseRiskInterfaces(clazz)
){
if (loadedClassesNames.contains(clazz.getName())) {
suspiciousClassList.add(clazz);
ClassUtils.dumpClass(ins, clazz.getName(), false,
Integer.toHexString(clazz.getClassLoader().hashCode()));
break;
}
LogUtils.logToFile("cannot find " + clazz.getName() + " classes in instrumentation");
break;
}
clazz = clazz.getSuperclass();
}
}
return suspiciousClassList;
}
这里借鉴了LandGrey师傅的黑名单,将内存马的目标类的类名、继承类、实现类、所属的包、使用的注解均设置黑名单。
1. 实现类黑名单
检测类是否实现javax.servlet.Filter / javax.servlet.Servlet / javax.servlet.ServletRequestListener接口类。
// 检测类是否实现高风险接口,如servlet/filter/Listener
public static Boolean lsReleaseRiskInterfaces(Class> clazz){
// 高风险的接口
List riskInterface = new ArrayList();
// filter型
riskInterface.add("javax.servlet.Filter");
// servlet型
riskInterface.add("javax.servlet.Servlet");
// listener型
riskInterface.add("javax.servlet.ServletRequestListener");
try {
// 获取类实现的interface
List clazzInterfaces = new ArrayList();
for (Class> cls : clazz.getInterfaces())
clazzInterfaces.add(cls.getName());
// 两个list有交集 返回true
clazzInterfaces.retainAll(riskInterface);
if(clazzInterfaces.size()>0){
return Boolean.TRUE;
}
} catch (Throwable ignored) {}
return Boolean.FALSE;
}
2. 继承类黑名单
// 检测父类是否属于高风险
public static Boolean lsHasRiskSuperClass(Class> clazz) {
// 高风险的父类
List riskSuperClassesName = new ArrayList();
riskSuperClassesName.add("javax.servlet.http.HttpServlet");
try {
if ((clazz.getSuperclass() != null
&& riskSuperClassesName.contains(clazz.getSuperclass().getName())
)){
return Boolean.TRUE;
}
}catch (Throwable ignored) {}
return Boolean.FALSE;
}
3. 注解黑名单
通过clazz.getDeclaredAnnotations() 获取所有注解,如果类使用了spring注册路由的注解,则标记为高风险。
public static Boolean isUseAnnotations(Class> clazz) {
// 针对spring注册路由的一些注解
List riskAnnotations = new ArrayList();
riskAnnotations.add("org.springframework.stereotype.Controller");
riskAnnotations.add("org.springframework.web.bind.annotation.RestController");
riskAnnotations.add("org.springframework.web.bind.annotation.RequestMapping");
riskAnnotations.add("org.springframework.web.bind.annotation.GetMapping");
riskAnnotations.add("org.springframework.web.bind.annotation.PostMapping");
riskAnnotations.add("org.springframework.web.bind.annotation.PatchMapping");
riskAnnotations.add("org.springframework.web.bind.annotation.PutMapping");
riskAnnotations.add("org.springframework.web.bind.annotation.Mapping");
try {
// 获取所有注解
Annotation[] da = clazz.getDeclaredAnnotations();
if (da.length > 0)
for (Annotation _da : da) {
// 比较 注解 && 高风险注解 如果有交集 返回True
for (String _annotation : riskAnnotations) {
if (_da.annotationType().getName().equals(_annotation))
return Boolean.TRUE;
}
}
} catch (Throwable ignored) {}
return Boolean.FALSE;
}
4. 类名黑名单
// 高风险的类名
public static Boolean lsRiskClassName(Class> clazz){
List riskClassName = new ArrayList();
riskClassName.add("org.springframework.web.servlet.handler.AbstractHandlerMapping");
try {
if (riskClassName.contains(clazz.getName())){
return Boolean.TRUE;
}
}catch (Throwable ignored) {}
return Boolean.FALSE;
}
5. 包名黑名单
// 检测是否属于高风险的包
public static Boolean lsContainRiskPackage(Class> clazz){
// 高风险的包
List riskPackage = new ArrayList();
riskPackage.add("net.rebeyond.");
riskPackage.add("com.metasploit.");
try {
for (String packageName : riskPackage) {
if (clazz.getName().startsWith(packageName)) {
return Boolean.TRUE;
}
}
}catch (Throwable ignored) {}
return Boolean.FALSE;
}
6. 基于mbean的filter/servlet风险类识别
这里分享另一种filter/servlet的检测,检测思路是通过mbean获取sevlet/filter列表,内存马的filter是动态注册的,所以web.xml中肯定没有相应配置,因此通过对比可以发现异常的filter。
MBeanServer mbs = ManagementFactory.getPlatformMBeanServer();
Object mbsInte = getFieldValue(mbs, "mbsInterceptor");
Object repository = getFieldValue(mbsInte, "repository");
Object domainTb = getFieldValue(repository, "domainTb");
Map catlina = (Map)((Map)domainTb).get("Catalina");
for (Map.Entry entry : catlina.entrySet()) {
String key = entry.getKey();
// servlet
if (key.contains("j2eeType=Servlet")){...}
// filter
if (key.contains("j2eeType=Servlet") && key.contains("name=jsp")){
Object value = entry.getValue();
Object obj = getFieldValue(value,"object");
Object res = getResourceValue(obj);
Object instance = getFieldValue(res,"instance");
Object rctxt = getFieldValue(instance, "rctxt");
Object context = getFieldValue(instance, "context");
Object appContext = getFieldValue(context,"context");
Object standardContext = getFieldValue(appContext,"context");
Object filterConfigs = getFieldValue(standardContext,"filterConfigs");
...
不过这种方式有较大的缺陷。首先,mbean只是资源管理,并不影响功能,所以在植入内存马后再卸载掉注册的mbean即可绕过;其次,servlet 3.0引入了 @WebFilter 可以动态注册,这种也没有在web.xml中配置,会引起误报,因此仅可作为一个查找风险类参考条件。
五、检测是否为内存马
遍历风险类,并检测以下规则:
1.内存马,对应的ClassLoader目录下没有对应的class文件
public static Boolean checkClassIsNotExists(Class> clazz){
String className = clazz.getName();
String classNamePath = className.replace(".","/") + ".class";
URL isExists = clazz.getClassLoader().getResource(classNamePath);
if (isExists == null){
return Boolean.TRUE;
}
return Boolean.FALSE;
}
2.反编译该类的字节码,检查是否存在危险函数
public static Boolean checkFileContentIsRisk(File dumpPath){
List riskKeyword = new ArrayList();
riskKeyword.add("javax.crypto.");
riskKeyword.add("ProcessBuilder");
riskKeyword.add("getRuntime");
riskKeyword.add("ProcessImpl");
riskKeyword.add("shell");
String content = PathUtils.getFileContent(dumpPath);
for (String keyword : riskKeyword) {
if (content.contains(keyword)) {
return Boolean.TRUE;
}
}
结果输出参考:如果没有class文件,可将该类风险等级标为high。如果包含恶意代码,将该类风险等级调至最高级。
// 输出结果
public static String getClassRiskLevel(Class> clazz, File dumpPath) {
String riskLevel = "Low";
// 检测 Classloader目录下是否存在class文件
if (AnalysisUtils.checkClassIsNotExists(clazz)){
riskLevel = "high";
}
// 反编译 检测java文件是否包含执行命令的危险函数
if (AnalysisUtils.checkFileContentIsRisk(dumpPath)){
riskLevel = "Absolutely";
}
return riskLevel;
}
六、小结
本文只是对Tomcat内存马的检测提供了一些思路,但并未提及查杀,查杀将在下一篇分享。
以上所有方法的黑名单列表仅供参考,可自行更改。
感谢 fnmsd、c0ny1、LandGrey 师傅们的支持。
七、参考文章
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1381/
shiro 内存马_Tomcat 内存马检测相关推荐
- java打印tomcat内存溢出_tomcat内存溢出问题监控工具
针对杭州数字电视系统内存溢出的问题,对tomcat做了两种监控方式. 注:以下配置都配置到catalina.sh文件中. 一.gclog,这种方式用于观察内存回收情况,显示的内容如下所示: 21184 ...
- Linux启动检测内存条错误,linux检测程序内存泄漏和内存错误
在linux的开发程序的时候,可以很方便的使用valgrind这个工具方便检测内存泄漏和内存错误. 安装很方便: debian(如ubuntu) sudo apt-get install valgri ...
- C++内存管理与内存泄漏及其检测
一.内存错误的分类 a.内存访问错误 对内存进行读或写时发生的错误,可能是读未被初始化的内存单元,也可能是读写错误的内存单元. b.内存使用错误 主要是在动态请求内存之后没有正确释放产生的错误. ...
- Valgrind ---内存调试,内存泄漏检测以及性能分析的软件开发工具
Valgrind是一款用于内存调试.内存泄漏检测以及性能分析的软件开发工具.Valgrind这个名字取自北欧神话中英灵殿的入口. 一般使用方式 valgrind --leak-check=full ...
- 内存二三事: Xcode 内存图、Instruments 可视化检测循环引用
小结下,内存管理的语义: 需要该对象的时候,他就得在.不需要他的时候,他最好被释放了. 合理的利用资源. 需要该对象的时候,他不在,释放早了. 野指针问题,用僵尸对象调试 给他发消息,程序会崩,EXC ...
- 透彻分析JAVA内存泄漏和内存溢出的区别
JAVA内存泄漏和内存溢出的区别和联系 1.内存泄漏memory leak : 是指程序在申请内存后,无法释放已申请的内存空间,一次内存泄漏似乎不会有大的影响,但内存泄漏堆积后的后果就是内存溢出. 2 ...
- 内存溢出和内存泄漏的定义,产生原因以及解决方法(面试经验总结)
一.定义(概念与区别) 内存溢出 out of memory,是指程序在申请内存时,没有足够的内存空间供其使用,出现out of memory:比如申请 了一个integer,但给它存了long才能存 ...
- mysql 自动管理内存_MySQL内存管理,内存分配器和操作系统
导读 作者:Sveta Smirnova 翻译:郑志江 校对:徐晨亮 原文 :MySQL Memory Management, Memory Allocators and Operating Syst ...
- 内存泄漏和内存溢出的关系和区别
作者:不怕天黑_0819 链接:https://www.jianshu.com/p/61d34df7eabe 一.内存泄漏(memory leak) 1.内存泄漏是指程序中已动态分配的堆内存由于某种原 ...
最新文章
- Valve className=org.apache.catalina.valves.AccessLogValve directory=logs prefix=localhost_acce
- shell 执行 oracle sql
- android+动画+锯齿,Android_rotate--animation 动画旋转两图片,消除动画锯齿现象 android 开发:动画旋转两图片 - 下载 - 搜珍网...
- 14008.xilinx-EMIO 扩展I2C问题
- 企业文化用品展示网页的开发
- 标签插入两一个html,一个类下有很多a标签,给第二个a标签添加样式,怎么写才能不用再给第二个a添加类_html/css_WEB-ITnose...
- Unity Standard Assets Example Project
- Pycharm(windows)设置中文菜单
- Ubuntu下OpenResty 搭建高性能服务端
- 怎么使用聚焦搜索NTFS格式磁盘
- springboot GeoLite2-City.mmdb实现通过IP地址获取经纬度以及该IP的所属地区
- FinalShell更换背景颜色
- solidworks属性管理器_SolidWorks自定义属性——属性标签编制程序
- 微信小程序实现word,excell等文件下载
- FutureTask.get(timeOut)执行原理浅析
- c语言让数码管显示时间,请问51单片机肿么编写程序让8个数码管显示时间(时分秒)...
- 什么是虚拟 DOM ?
- 作为计算机专业学生,最应该学习的课程前五位是什么?(2021 年更新)
- 车联网路侧设施设置指南
- C-Lodop提示“网页还没下载完毕,请稍等一下再操作.”
热门文章
- 关于解释和编译,静态语言和脚本语言
- 在滴滴和头条干了2年开发,我的总结与感悟
- 享“瘦”一“夏”,华为运动健康APP智能减脂计划等你来加入
- 我参加的汉化游戏进度[《逆转检察官2》汉化发布]
- 华为OD机试题,用 Java 解【员工出勤 or 出勤奖的判断】问题 | 含解题说明
- 全民Python的时代,请问财务是否真的需要python?
- WinAPI多线程同步
- 育碧是如何做AI的? 《全境封锁》敌人AI设计思路分析
- java基于ssm的汽车在线销售系统
- 锤子科技撤回全部破产申请,罗永浩或将重回科技行业