应急响应----本地环境配置,对内存马查杀研究分析
- 注:后续添加的补充内容
框架型内存马
SpringController型内存马:动态注册Controller及映射路由。
SpringInterceptor型内存马:动态注册Interceptor及映射路由。
启动环境:
- Spring框架启动(Controller型内存马和Interceptor型内存马)
- 这里先启动对应环境,访问8080端口,查看可以看到这里是一个spring的页面
这里启动完成,直接访问addSpringInterceptor这个路径,就能够看到注入成功,也就是说内存马已经注入
启用工具:
- 这里只有这一个jar 包,那么直接进入,并且搜索发现:
sc * | grep Controller
sc * | grep Interceptor
直接可以看到对应的类,这里忘记截图了然后就是需要将对应的类反编译为java源码:
保存后,直接idea打开
直接就能找到对应的恶意类,并且还存在其他可以执行命令的类
删除其中的三个class文件,然后重新启动
重启后就可以再次访问对应的触发路径,明显已成功查杀!
本地启动环境—Netty/WebFlux 内存马
这个项目主要在于直接通过启动jar包,就达到了注入的效果
直接通过密码秘钥连接
连接上之后,这里就想办法查杀
尝试启动工具分析:
- arthas使用语法:
关键字筛选 常规shell触发代码关键字 memshell shell os runtime - 通过这里的搜索发现存在对应的恶意类
jad --source-only com.example.webfluxmem.WebFluxFilterMemshell- 可以看到这里直接得到对应的源码
这里的话其实相当于是在注册了一个WebFlux类型的内存马。主要是动态注册webfilter以及映射路由
这里直接找到了恶意的代码文件,存在key,pass
因为是启动导致的,通过直接停止,并删除
_京东网上购物官方网站_郑州品牌网站建设_数据分析网官网 "seo优化一般包括哪些内容()_京东网上购物官方网站_郑州品牌网站建设_数据分析网官网")
