通过扫描网络连接和电子邮件中是否存在恶意软件,这将帮助减少恶意软件到达端点并执行的机会。微软开发了一个反恶意软件扫描开放接口,一些供应商已经开始使用该接口来轻松检测无文件世界的“信息”,尤其是在分析脚本行为时 0x06 无文件恶意软件攻击shiro-tomcat内存马0x06-1 漏洞环境搭建利用shiro反序列化漏洞,注入内存马。我们启动一个shiro+spring的反序列化的漏洞环境。
0x06-2 filter内存马过程分析(1)判断shiro漏洞及shiro是否有匹配key值及证明是否存在shiro反序列化漏洞。
(2)因shiro反序列化的利用点在cookie头,tomcat限制cookie头长度(默认为200),超过该长度tomcat会报错,所以需要对内存马代码进行打包成类。
(3)tomcat-filter内存马创建过程,将filter注入到tomcat中,首先获取context值
(4)FilterChain()通过遍历filterMaps,根据请求的URL在filterMaps中匹配filter
(5)在filterConfigs中找到filter的实例
(6)注册了恶意filter代码,实现cmd命令的执行
(7)启动shiro反序列化环境,注入filter内存马
0x07 参考文章https://blog.csdn.net/systemino/article/details/102419750
https://www.secrss.com/articles/18257
https://www.jianshu.com/p/9c3894f6d71a
https://baijiahao.baidu.com/s?id=1629047857681256561&wfr=spider&for=pc (责任编辑:admin) |