arthas工具排查冰蝎内存马

最新推荐文章于 2025-07-14 17:57:24 发布
原创 最新推荐文章于 2025-07-14 17:57:24 发布 · 1.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

#0x00 arthas工具

Release arthas-all-3.7.2 · alibaba/arthas · GitHub

大佬的工具,目前最新版本3.7.2。测试需要tomcat8以上

#0x01 冰蝎内存马配置

先采用冰蝎连接上线,然后右键注入内存马,选择agent方式配置

然后连接新添加的连接,可以正常上线及执行命令

#0x02 Servlet/Filter检测

我们执行java -jar arthas-boot

选择tomact默认进程,我这里选择1,进入arthas配置界面

我们输入help可以查看支持的命令

我们通过sc *.Filter和sc *.Servlet命令来检索Filter和Servlet的类型

对发现的异常类型,在进行反编译,注意这里的org.apache.jsp.be3_005fshell_jsp

jad org.apache.jsp.be3_005fshell_jsp,反编译类

其中key值可以明显看到冰蝎马的痕迹

#0x03 内存访问日志检测

我们还可以通过dump内存,对内存中的访问路径进行检索,无论是什么类型的内存马,都需要访问路径进行传惨和触发

执行:heapdump,输出日志

我们检索POST类型请求,可以看到注入点memshell

然后再进行详细分析。

因为内存马是驻留在内存中,重启服务后可以删除。

memshell:Tomcat 冰蝎内存
04-13
Tomcat 无文件冰蝎内存 使用以下命令创建tomcat容器,并将inject.jar,agent.jar复制到容器中。 docker run -d -ti --net host --name tomcat tomcat:8.0.18-jre8 docker cp inject.jar tomcat:/usr/local/tomcat docker cp agent.jar tomcat:/usr/local/tomcat 使用以下命令将其注入到tomcat进程中。 java -jar inject.jar 123 通过behinder.jar连接内存冰蝎,url格式: http://ip:port/1.jsp?pass_the_world=123&model=chopper 密码: rebeyond
arthas查杀内存全过程
weixin_64712672的博客
05-09 479
本文介绍了如何创建一个模拟内存的Java程序,并使用Arthas工具进行查杀。首先,编写了一个名为SimpleApp的Java程序,其中包含一个主线程和一个模拟的“内存”线程。主线程执行正常业务逻辑,而“内存”线程每隔3秒输出一次运行信息。编译并运行该程序后,启动Arthas工具,选择对应的Java进程。通过thread命令查看所有线程,找到可疑的“内存”线程,并根据其索引位置使用thread -b命令杀死该线程,从而实现对内存的查杀。
玄机———内存分析-冰蝎内存(Filter)
最新发布
2301_76981702的博客
07-14 1326
它主要用于显示当前所有Java进程的PID,这对于了解启动了多少个Java进程非常有用,因为每个Java程序都会占用一个Java虚拟机实例。然而,JPS的一个限制是它只能显示当前用户的进程ID,要查看其他用户的进程ID,则需要使用Linux的ps命令。它是 jar 包生成的时候,自动创建的,主要负责制定 jar 包的 main 文件位置和当前文件夹。JPS命令的基本用法非常简单,可以通过不同的选项来获取更详细的进程信息。jmap 是一种工具,用于打印有关正在运行的 JVM 中的内存的统计信息。
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
干货|冰蝎、哥斯拉 内存应急排查
m0_60571990的博客
12-29 1万+
干货|冰蝎、哥斯拉 内存应急排查
内存查杀工具使用
m0_64777251的博客
06-24 1154
jadheapdump干货|冰蝎、哥斯拉 内存应急排查_冰蝎内存-CSDN博客。
arthas工具,用于java内存排查
07-25
arthas工具,用于java内存排查
三条命令查杀冰蝎、哥斯拉内存
lufeirider的博客
11-04 1201
最近遇到一次真实的内存排查case,之前自己也是有专门做过内存查杀工具,于是重新回顾梳理,并把自己的一些方法分享出来。
Arthas排查Java堆内存溢出
qq_45226339的博客
02-19 1876
tt -i 1000 -w '{target,params[0]}' # 查看第1000次调用的参数。:查找内存泄漏(Dominator Tree、Leak Suspects)。通过以上步骤,可以快速定位是配置问题、代码缺陷还是资源管理不当导致的OOM。频率是否异常(频繁Full GC可能表明内存不足)。检查是否有线程在大量分配对象(如循环中创建大集合)。:对象因代码逻辑(如静态集合、未关闭资源)无法回收。:仅导出存活对象(减少文件大小)。# 查看方法参数/返回值中的大对象。
使用Arthas工具排查Java内存泄漏
资源摘要信息:"Arthas 是一个Java诊断工具,类似于jmap..."内存"是一种黑客攻击技术,涉及恶意代码注入到应用程序的内存中,而Arthas工具用于诊断和排查Java应用中的性能问题和bug,并不直接用于安全相关的问题排查
releaseBehinderShell:卸载冰蝎内存
04-16
编译 mvn clean package -DskipTests 使用 首先查看机器进程,找到Tomcat或者Weblogic进程ID,如下为查找Tocmat进程ID ps -el | grep org.apache.catalina.startup.Bootstrap 运行卸载内存程序 java -Xbootclasspath/a:$JAVA_HOME/lib/tools.jar -jar releaseBehinderShell-1.0-SNAPSHOT-jar-with-dependencies.jar [pid] 注意 本工具只在Tomcat环境下进行测试通过,weblogic环境未进行测试。 由于使用本工具导致的任何服务器崩溃等一系列问题,与本人无关。
Arthas线上排查问题流程
keehom的博客
03-29 708
连接curl -O https://arthas.aliyun.com/arthas-boot.jar【wget https://arthas.aliyun.com/arthas-boot.jar】.../jdk/bin/java -jar arthas-boot.jar 22336【最好在这个目录启动,port可选】2、trace 查找时间运行过长 或者某个方法运行的情况。说明上次的连接还在挂着,没有exit或者stop。最后重启arthas-boot.jar 选择程序。,需要先进入,再stop;
网络安全工具冰蝎4.0内存可运行Web组件版本
SHELLCODE_8BIT的博客
09-15 794
因为内存具有特定行,既指定版本只能在指定的web组件运行,以下是测试情况。
第20篇:改造冰蝎客户端适配JNDIExploit的内存
ABC_123的博客
08-20 2712
Part1 前言JNDIExploit是一款常用的用于JNDI注入利用的工具,其大量参考/引用了 Rogue JNDI 项目的代码,支持直接植入内存shell,并集成了常见的bypass 高版本JDK的方式,适用于JNDI反序列化漏洞的利用,可直接对出网情况下的JNDI进行回显。JNDIExploit这款工具注入的冰蝎内存是经过改造后的冰蝎,网上并没有改造好的与之适配的冰蝎客户端放出来,原版...
【死磕JVM】用Arthas排查JVM内存 真爽,java程序编译原理
m0_64867293的博客
12-10 936
下载地址:https://arthas.gitee.io/download.html 你可以下载zip的包我下载的是arthas-packaging-3.5.0-bin.zip 或者通过命令去下载 wget https://alibaba.github.io/arthas/arthas-boot.jar 使用手册 1. 快速启动 当我们下载好之后,我们直接通过命令启动就可以java -jar arthas-boot.jar,但是在此之前我们需要通过检测的代码来挂靠到Arthas上面 import java
[技术分享]冰蝎自定义代码注入内存
LiangYueSec的博客
11-20 1039
[技术分享]冰蝎自定义代码注入内存
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

归零者k8

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值