内存马查杀工具(非常详细)从零基础到精通,收藏这篇就够了!

最新推荐文章于 2025-06-18 11:30:39 发布
原创 最新推荐文章于 2025-06-18 11:30:39 发布 · 938 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #pycharm #开发语言 #前端 #web安全 #网络 #安全

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全设为星标”,否则可能就看不到了啦!

01

工具介绍

查杀内存马

java -jar aLIEz.jar JVMID aLIEz-agent-1.0-SNAPSHOT.jar

使用方法

➜ java -jar aLIEz.jar``usage: java -jar clearMemShell.jar <JVMID> "AgentLocate"``32866: org.jetbrains.idea.maven.server.RemoteMavenServer36``43237: org.jetbrains.jps.cmdline.Launcher /Applications/IntelliJ IDEA.app/Contents/lib/netty-common-4.1.52.Final.jar:/Applications/IntelliJ IDEA.app/Contents/lib/netty-resolver-4.1.52.Final.jar:/Applications/IntelliJ IDEA.app/Contents/plugins/java/lib/javac2.jar:/Applications/IntelliJ IDEA.app/Contents/lib/httpclient-4.5.12.jar:/Applications/IntelliJ IDEA.app/Contents/lib/plexus-component-annotations-1.7.1.jar:/Applications/IntelliJ IDEA.app/Contents/lib/maven-resolver-spi-1.3.3.jar:/Applications/IntelliJ IDEA.app/Contents/lib/util.jar:/Applications/IntelliJ IDEA.app/Contents/lib/platform-api.jar:/Applications/IntelliJ IDEA.app/Contents/lib/qdox-2.0-M10.jar:/Applications/IntelliJ IDEA.app/Contents/lib/asm-all-9.0.jar:/Applications/IntelliJ IDEA.app/Contents/lib/commons-lang3-3.10.jar:/Applications/IntelliJ IDEA.app/Contents/lib/jna.jar:/Applications/IntelliJ IDEA.app/Contents/lib/trove4j.jar:/Applications/IntelliJ IDEA.app/Contents/lib/nanoxml-2.2.3.jar:/Applications/IntelliJ IDEA.app/Contents/lib/maven-resolver-api``45253: org.jetbrains.idea.maven.server.RemoteMavenServer36``69401: org.jetbrains.idea.maven.server.RemoteMavenServer36``51529: Behinder_v3.0_Beta6_mac.jar``56185: org.apache.catalina.startup.Bootstrap start``57449: aLIEz.jar``37197:``64783: org.jetbrains.idea.maven.server.RemoteMavenServer36``56879: Godzilla-V2.96.jar``   ``15:18:23 in out/artifacts/aLIEz_jar``➜ java -jar aLIEz.jar 56185 "/Users/r00t4dm/Downloads/JavaAgent_CleanMemShell/target/aLIEz-agent-1.0-SNAPSHOT.jar"``[+]OK.i find a jvm.org.apache.catalina.startup.Bootstrap start``[+]agent is injected.

02

工具下载

03

往期精彩

[

一个基于 Spring Boot 的在线免杀生成平台

](http://mp.weixin.qq.com/s?__biz=Mzk0ODM0NDIxNQ==&mid=2247489769&idx=1&sn=ff7251df31875cb0d5dd3bc160f6e6e6&chksm=c3685c11f41fd507da916fd9bfb1be84447819a546bc1ba6744214833532cdcc154e12c6a17b&scene=21#wechat_redirect)

[

Hearts K-企业资产发现与脆弱性检查工具,自动化资产信息收集与漏洞扫描

](http://mp.weixin.qq.com/s?__biz=Mzk0ODM0NDIxNQ==&mid=2247489767&idx=1&sn=6cc9e8a818ac1e5e50883d653f165c66&chksm=c3685c1ff41fd50955722dd2abd4f21fea8b62fbd18a0ee03b7f53d532585d35786c98ccf43c&scene=21#wechat_redirect)

[

Google hacking语法大全

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接即可前往获取

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

👉1.成长路线图&学习规划👈

要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
在这里插入图片描述

在这里插入图片描述

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
在这里插入图片描述

在这里插入图片描述

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

在这里插入图片描述

黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)

👉4.护网行动资料👈

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

在这里插入图片描述

👉5.黑客必读书单👈

在这里插入图片描述

👉6.网络安全岗面试题合集👈

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
在这里插入图片描述
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

FastAdmin后台开发框架 lang 任意文件读取漏洞复现
0xSec
06-17 4364
FastAdmin后台开发框架 /index/ajax/lang 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
内存查杀copagent研究
SHELLCODE_8BIT的博客
09-11 1647
1.cop注入进程jvm进程2.agent扫描进程。
抓 Windows 密码,这 7 种技术用!
bigbangbangbang1的博客
12-09 1061
内网渗透中,获取到 Windows 系统权限之后,抓取本地哈希是必不可少的操作,今天分享一款工具,集成了 7 种转储 LSASS 内存的方法,工具地址:运行如图:未提供任何参数运行程序,会要求你输入所要指定的方法,参数为 1-7,功能分别对应:使用解除挂钩技术转储 lsass 内存以注入修改后的 mimikatz 二进制文件。使用解除挂钩技术转储 lsass 内存以使用 MDWD 的直接系统调用注入二进制文件。使用简单的 MiniDumpWriteDump API 转储 lsass 内存
Java Servlet内存原理和应急响应查杀
yy1715713348的博客
06-18 888
大家应该或多或少听说过 “一句话木” 或者 webshell (小、大)吧?以前黑客搞攻击,就把恶意代码塞进服务器的文件里,远程操控服务器,就跟在自己电脑上操作似的。但安全防护技术不断进步,传统那种基于文件的 WebShell,想躲过检测和清理越来越难。所以,攻击者搞出了内存(Memory Shell),这是种无文件落地的木内存说白了,就是把恶意代码直接注入应用程序运行时的内存里。和传统基于文件的 WebShell 不一样,它不依赖磁盘上任何持久化存储。
2024版最新148款CTF工具整理大全(附下载安装包)含基础环境、Web 安全、加密解密、密码爆破、文件、隐写、逆向、PWN等全套工具
热门推荐
Libra1313的博客
10-23 1万+
经常会有大学生粉丝朋友私信大白,想通过打CTF比赛镀金,作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具,所以在全网苦寻CTF比赛工具安装包!
【漏洞复现】FastAdmin——lang——任意文件读取漏洞
LongL_GuYu的博客
06-27 7029
FastAdmin是一个免费开源的后台管理框架,其lang存在任意文件读取漏洞,未授权攻击者可以利用其读取网站配置文件等敏感信息。
fastAdmin lang接口任意文件读取漏洞(内含XrayPoC)
WuYSec的博客
06-18 1878
fastAdmin是一款基于ThinkPHP和Bootstrap开发的开源后台管理框架,旨在帮助开发者快速构建高效、灵活的后台管理系统。fastAdmin存在任意文件读取漏洞,可直接读取数据库配置文件。
应急响应 -162天:webshell和内存查杀
wuqingsix的博客
02-14 1062
如:利用此系统中间件等爆出的通用漏洞,利用安全知识进行模拟攻击,了解外来攻击的方法。应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为。应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为。获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)如:翻日志 确定攻击时间,请求方式,请求地址,ip。背景交代:某公司在某个时间发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。
1、应急响应-网站入侵检测&访问日志&漏洞排查&Webshell内存查杀
m0_65842464的博客
01-22 1417
针对网页篡改与Web后门攻击应对措施: 基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。 如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为 如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击 如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击
内存介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 1374
先判断是通过什么方法注入的内存,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
tomcat-memshell-scanner.jsp
12-18
这里推荐几款内存查杀工具 java-memshell-scanner:通过jsp脚本扫描并查杀各类中间件内存。 只需要将tomcat-memshell-scanner.jsp放在可能被注入内存web录下,然后使用浏览器访问即可直接获得扫描结果。
fastadmin(V1.0.0.20200506_beta) 前台 getshell(文件上传解析) 漏洞分析1
08-03
2、在 linux 下, is_file() 函数判可用于判断符号链接 3、在 linux 下, is_file 函数会受到权限的影响,当前用户权限不足或父目录
LinuxEmergency:应急工具
05-02
LinuxEmergency Linux下的应急工具,支持CentOS系统和RedHat系统,安装方法: git clone https://github.com/cisp/LinuxEmergency.git cd LinuxEmergency sh ./install.sh 要求root权限 查看操作系统信息: [root@centos emergency]# python emergency.py -o 内核版本 : Linux-3.10.0-514.26.2.el7.v7.4.qihoo.x86_64-x86_64-with-centos-7.2.1511-Core CORE数量 : 16 CPU数量 : 16 CPU使用率 : scputimes(user=1.0, nice=0.0, system=0.0, idl
【漏洞预警】FastAdmin框架任意文件读取漏洞
晚风不及你
06-11 3832
FastAdmin是一个基于ThinkPHP和Bootstrap的快速开发的后台管理系统框架。FastAdmin框架存在文件读取漏洞漏洞,攻击者利用此漏洞可以获取系统敏感信息。
FastAdmin 任意文件读取漏洞复现
网安小白
09-04 2125
FastAdmin 后台框架开源且可以免费商用,一键生成 CRUD, FastAdmin 是一款基于 ThinkPHP 和 Bootstrap 的极速后台开发框架,基于Auth验证的权限管理系统,一键生成 CRUD,自动生成控制器、模型、视图、JS、语言包、菜单、回收站等。(Fast Admin 极速 后台 框架)Fastadmin框架 lang接口处存在任意文件读取漏洞,恶意攻击者可能利用该漏洞读取服务器上的敏感文件,例如客户记录、财务数据或源代码,导致数据泄露。
fastadmin框架低版本漏洞,任意文件读取漏洞(CVE-2024-7928),/index/ajax/lang?lang 修复办法
loricy7的专栏
11-20 1941
通过/index/ajax/lang?lang=en,可以获取到一些敏感文件的信息。关于这个漏洞,是由于旧版本对获取语言标识。官方已于2022年05月30日发布。所以fastadmin框架版本低于。的过滤不严可能导致安全问题。版本,并修复了这个漏洞。对应的数组中添加以下代码。版本,就需要进行修复。方法三:更新框架版本,
DDoS“消防演习”服务敦促公司做好准备
zy18165754120的博客
01-24 158
然而,不知何故,当涉及到企业 IT 部门时,这种做好准备的想法已经消失了——可以说是目前风险最高的环境之一。实际上,它就在坎大哈或叛军控制的叙利亚附近。但是,在发生违规或网络攻击的情况下实践该做什么的想法在安全计划中基本上没有出现,大多数恢复都存在于纯粹的反动空间中。 全球信息保障公司NCC Group旨在通过 DDoS Assured 模拟服务将消防演习的理念带入 IT 安全领域。通过它,企业可以在面对真正的分布式拒绝服务 (DDoS) 攻击时测试其响应程序。演习涉及用受控的低级别 DDoS 攻击攻击客
内存查杀工具
Python_0011的博客
02-10 805
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!Hearts K-企业资产发现与脆弱性检查工具,自动化资产信息收集与漏洞扫描。朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把。因幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因幅有限,仅展示部分资料,需要点击下方链接即可前往获取。Google hacking语法大全。”,否则可能就看不到了啦!
FastAdmin最新XSS漏洞(CNVD-2025-03743)
护卫神的博客
03-19 908
FastAdmin是一款基于ThinkPHP的开源后台管理框架,专为快速开发设计。国家信息安全漏洞共享平台于2025-02-14公布该程序存在代码注入漏洞。
tomcat-memshell-scanner.jsp脚本工具在windows上怎么使用
最新发布
06-24
<think>我们正在讨论的是在Windows系统上使用tomcat-memshell-scanner.jsp脚本工具来检测Tomcat内存。根据引用[2]中提到的工具,tomcat-memshell-scanner是用于Java内存检测的工具之一。步骤指南:1.获取工具:从GitHub下载java-memshell-scanner项目(项目地址:https://github.com/c0ny1/java-memshell-scanner)2.部署到Tomcat:将下载的tomcat-memshell-scanner.jsp文件放在Tomcat服务器的web应用目录下(例如ROOT目录),以便通过浏览器访问。3.访问扫描页面:在浏览器中输入该jsp文件的URL(如:http://localhost:8080/tomcat-memshell-scanner.jsp)4.执行扫描:按照页面提示进行操作,扫描Tomcat内存中的恶意后门(内存)。5.查看结果:扫描完成后,页面会显示检测结果。注意:该工具需要在Tomcat服务器上运行,因此需要确保服务器已启动,并且有权限部署该jsp文件。引用[2]中提到了多个工具,其中tomcat-memshell-scanner.jsp就是用于Tomcat内存扫描的。根据引用[3],内存检测还可以使用VisualVM等工具进行辅助分析,但这里我们专注于使用tomcat-memshell-scanner.jsp。详细步骤:1.下载工具:访问GitHub项目:https://github.com/c0ny1/java-memshell-scanner下载整个项目(可以点击Code->DownloadZIP),或者直接下载tomcat-memshell-scanner.jsp文件(在项目的jsp目录下)。2.部署到Tomcat:-将tomcat-memshell-scanner.jsp文件复制到Tomcat的webapps目录下的某个应用中,比如ROOT(即默认应用)目录下。-如果Tomcat正在运行,可能需要重启Tomcat(但通常jsp文件放入后可以直接访问,无需重启)。3.访问工具:在浏览器中访问:http://<你的服务器IP>:<端口>/tomcat-memshell-scanner.jsp例如,本地Tomcat默认地址:http://localhost:8080/tomcat-memshell-scanner.jsp4.使用工具:打开页面后,通常会有一个按钮或链接来启动扫描。点击后,工具会扫描当前Tomcat容器中加载的所有类和过滤器等,检测是否存在已知的内存。5.结果解读:工具会列出可疑的类,并标记出已知的内存特征。根据结果,可以进一步处理恶意内存。注意:由于内存是运行在内存中的,清除内存通常需要重启Tomcat服务。在检测到内存后,应进一步排查漏洞入口,防止再次被注入。另外,引用[2]还提到了其他工具,如河内存查杀工具(有Windows版本),也可以作为备选方案。相关问题:1.如何清除检测到的内存?2.除了使用tomcat-memshell-scanner.jsp,还有哪些方法可以检测Java内存?3.如何预防内存注入?</think>### Windows上使用tomcat-memshell-scanner.jsp指南 #### 工具简介 `tomcat-memshell-scanner.jsp` 是检测Tomcat内存的专用工具[^2],通过扫描内存中的恶意Filter/Servlet/Listener等组件,识别无文件Webshell。项目地址:https://github.com/c0ny1/java-memshell-scanner --- #### 使用步骤 1. **下载工具** - 访问GitHub项目 → 下载`jsp`目录中的扫描脚本 - 或直接下载:[tomcat-memshell-scanner.jsp](https://raw.githubusercontent.com/c0ny1/java-memshell-scanner/master/jsp/tomcat-memshell-scanner.jsp) 2. **部署脚本** ```powershell # 将脚本放入Tomcat的web应用目录(如ROOT) copy tomcat-memshell-scanner.jsp C:\apache-tomcat-9.0\webapps\ROOT\ ``` 3. **访问扫描页面** - 浏览器打开:`http://localhost:8080/tomcat-memshell-scanner.jsp` - 显示扫描界面: ![扫描界面示例](https://github.com/c0ny1/java-memshell-scanner/raw/master/images/en_index.png) 4. **执行扫描** - 点击`Scan`按钮启动检测 - 检测内容: - 恶意Filter链 - 动态注册的Servlet - 异常Listener - 内存特征(如哥斯拉/冰蝎等) 5. **结果解读** - **红色条目**:高风险内存 - **黄色条目**:可疑组件 - 关键字段: - `Class Name`:恶意类名 - `Pattern`:匹配的内存特征 - `Risk Level`:风险等级 6. **清除内存** ```powershell # 必须重启Tomcat服务才能清除内存驻留 net stop Tomcat9 && net start Tomcat9 ``` --- #### 注意事项 1. **权限要求** - 脚本需在Tomcat进程用户权限下运行 - 若遇权限错误,修改`catalina.policy`添加: ```java grant codeBase "file:${catalina.base}/webapps/ROOT/-" { permission java.security.AllPermission; }; ``` 2. **误报处理** - 排除已知安全组件(如Shiro): ```java // 修改源码中的检测规则 excludePatterns.add("org.apache.shiro."); ``` 3. **替代方案** - 河内存查杀工具(Windows版):[下载链接](https://dl.shellpub.com/hmws/1.2.0/hmws-1.2.0.zip)[^2] - copagent工具:[项目地址](https://github.com/ofmkms/copagent) --- #### 检测原理 通过反射获取`ApplicationContext`的`filterMaps`和`filterConfigs`,比对已知内存特征: ```java Field filterMaps = context.getClass().getDeclaredField("filterMaps"); filterMaps.setAccessible(true); List<FilterMap> filterMapList = (List<FilterMap>) filterMaps.get(context); ``` 特征库包含哥斯拉/冰蝎等常见内存的类名、方法签名和字节码模式[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值