文章探讨了JAVAJSP环境下的冰蝎3.0和4.0版本,包括其HTTP头信息和内存马的特点,如内存马在ClassLoader中无对应class文件,可利用javainstrumentation进行检测和防御。同时,也提到了PHP环境下的冰蝎4.0、蚁剑和菜刀等工具的使用情况,特别是连接密码错误和正常连接的场景。
1 JAVA-JSP
1.1 冰蝎3.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
响应:
执行命令……
1.2 冰蝎4.0
Accept: application/json, text/javascript, */*; q=0.01Accept-Encoding: gzip
1.3 GodZilla
测试连接
提供了memoryShell和FilterShell两种内存马
卸载memshell
内存马特点,对应的ClassLoader目录下没有对应的class文件,tomcat重启后消失,所以可以通过java instrumentation机制,将检测jar包attach到tomcat jvm,检查加载到jvm中的类,对于没有class文件且反编译后代码中有恶意代码的进行处理。
2 php
2.1 冰蝎4.0
连接密码错误时:
正常连接:
2.2 蚁剑
高版本
2.3 菜刀
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
