aspx、php、jsp內存馬使用 - 網安 - 專業的網絡安全產業、社區、知識平臺

0x00 前言

前端時間看到asp的內存馬分析，上周又看到jsp內存馬技術文章，剛好團隊在帶新，就簡單總結一下三種語言的內存馬技術，不會有過多的代碼分析、技術解讀，以學習內存馬基本原理、會實戰利用為主。

0x01 jsp內存馬

從jsp開始談，我們要知道Servlet、Filter、Listener是什么？

Servlet（服務程序）是運行在Web請求和服務器上的應用程序之間的中間層，根據請求生成相應的返回信息提供給用戶。

Filter（過濾器）是對Servlet技術的一個強補充，其主要功能是在HttpServletRequest（請求）到達Servlet（中間件）之前，攔截、檢查、修改其內容；在HttpServletResponse（響應）到達客戶端之前，攔截、檢查、修改其內容。

Listener（監聽器）就是Application、Session和Request三大對象創建、銷毀或者往其中添加、修改、刪除屬性時自動執行代碼的功能組件，通過監聽器，可以自動觸發一些動作，比如監聽在線的用戶數量，統計網站訪問量、網站訪問監控等。

舉個例子來理解：Listener就是水表，我們的數據經過時會觸發計數，Filter就是水管上的開關，通過他的開關可控制數據流向哪里，Servlet就是水龍頭，打開廚房的水龍頭就是要洗菜，打開浴室的水龍頭就是要洗澡，這就是“根據請求生成相應的返回信息”。

因為某抓包工具原因，我們都知道jar運行時可以加“-javaagent”參數來控制jvm執行內容，不過java后來又出現了attach（附加）方式去動態修改運行中的程序，不了解java機制也沒關系，這兩種方式我們可以這樣理解：

javaagent理解為exe程序運行時設置參數，實現修改運行邏輯

attach理解為exe程序運行中修改內存值，實現修改運行邏輯

因此jsp內存馬就是attach+Servlet/Filter/Listener的方式，在Servlet/Filter/Listener三者的任意一個中動手腳即可實現

0x02 aspx、php內存馬

aspx內存馬有三種情況：Filter內存馬、Route內存馬、HttpListener內存馬，對應概念與jsp相同。

asp.net的web應用啟動后會自動運行全局的Filters和Routes組件，因此利用他們寫內存馬直接插入即可，與jsp不同的是，有時需要訪問一次上傳的文件去觸發內存寫入。

HttpListener區別較大，類似啟動一個簡單的Web Server，要System權限才行，可以端口復用，不會留下web日志記錄，比起webshell更適合用于權限維持的后門。

php內存馬我更愿意叫它不死馬，第一種情況是訪問文件，使用while一直寫文件（運行不停止當然內存一直占用），來達到“不死”的目的；第二種是使用file_get_contents加載遠程webshell代碼執行，配合unlink(__FILE__)刪除自身達到“shellcode不落地”的無文件落地運行目的。