#0x00 arthas工具
Release arthas-all-3.7.2 · alibaba/arthas · GitHub
大佬的工具,目前最新版本3.7.2。测试需要tomcat8以上
#0x01 冰蝎内存马配置
先采用冰蝎连接上线,然后右键注入内存马,选择agent方式配置
然后连接新添加的连接,可以正常上线及执行命令
#0x02 Servlet/Filter检测
我们执行java -jar arthas-boot
选择tomact默认进程,我这里选择1,进入arthas配置界面
我们输入help可以查看支持的命令
我们通过sc *.Filter和sc *.Servlet命令来检索Filter和Servlet的类型
对发现的异常类型,在进行反编译,注意这里的org.apache.jsp.be3_005fshell_jsp
jad org.apache.jsp.be3_005fshell_jsp,反编译类
其中key值可以明显看到冰蝎马的痕迹
#0x03 内存访问日志检测
我们还可以通过dump内存,对内存中的访问路径进行检索,无论是什么类型的内存马,都需要访问路径进行传惨和触发
执行:heapdump,输出日志
我们检索POST类型请求,可以看到注入点memshell
然后再进行详细分析。
因为内存马是驻留在内存中,重启服务后可以删除。