标签: 内存马

5 篇文章

Jetty Servlet与Filter型内存马
前言 本文在实现完 Jetty Listener 回显内存马后,Servlet 和 Filter 类型的内存马想必就是信手拈来了。阅读本文之前建议先阅读 https://sec.1i6w31fen9.top/2023/11/18/jetty-listener-%e5%9e%8b%e5%86%85%e5%ad%98%e9%a9%ac/ ,这样更好理解…
Jetty Listener 型内存马
前言 本文介绍的是 Jetty Listener 回显内存马的实现思路和细节以及反序列化漏洞的注入。所给出的 PoC 代码已通过反序列化注入的方式测试成功。 环境 引入依赖以及环境如下: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="h…
JavaAgent内存马
前言 这是通过 JavaAgent + javassist 动态修改 web 服务内部关键类注入恶意代码的内存马技术。限制是需要在已经控制目标机器并且上传 Agent jar 包和 javassist 包才可以完成的注入。 环境 tomcat 环境(目标受害环境): <project xmlns="http://maven.apac…
Spring 内存马
实验环境 仍旧像介绍 tomcat 一样,目标是反序列化注入内存马。引入存在漏洞 rome 依赖。 pom.xml 主要如下: <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-pa…
Tomcat内存马
前言 本文对 Tomcat 的各种内存马进行了简单学习和整理,所给出的 PoC 代码均已通过反序列化注入的方式测试成功。 环境 引入依赖以及环境如下: <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> &…