aspx、php、jsp内存马使用

戟星安全实验室

0x00  前言

0x01 jsp内存马

0x02  aspx、php内存马

0x03  关于内存马使用

先看php一个标准的不死马，内存驻留循环写文件

查杀效果，当然是一抓一个准，比起免杀一句话，实际上不死马更适合防护弱的目标搞权限维持

将字符串内容换为远程url，对php不死马进行变种，原先使用eval就是内存马，改为使用system就可直接上线cs（powershell command）

查杀效果，比起前面明显隐蔽性更高，更容易被网站管理员忽略

jsp内存马推荐哥斯拉内置的，测试最新版v4.0.1-godzilla（有时出现进入shell失败的情况，多试两次就行），指定内存马路径名称点击run，提示ok表示成功，可以去浏览器访问对应路径

使用servlet管理功能可以看到存在我们指定的内存路径

测试冰蝎Behinder_v3.0 Beta 9 fixed最新版，注入内存马后自动连接，后面图标与正常webshell有所不同，顺便可以看到这些工具都支持流量代理转发了

测试蚁剑内存马插件As-Exploits（可以去插件市场下载或者下载后手动安装

https://github.com/yzddmr6/As-Exploits），推荐去看看插件作者的几篇aspx内存马分析，这次使用Filter方式注入内存马

使用内存马管理功能，看看长什么样

但是访问报错，测试无法利用，看来还是servlet方式稳定一些

最后测试3款工具对aspx内存马的支持，冰蝎不支持aspx内存马

而哥斯拉可以，就是不知道内存马添到哪个路径去了

而它随带几个“土豆”漏洞提权挺实用的

蚁剑的插件也可以，并且能自定义路径，点击exploit后去浏览器访问对应路径无报错

在网站目录没有新文件出现

查看日志文件，和插件作者分析的一样，222.aspx访问记录只有一次，后续对其访问无日志记录

0x04  关于内存马查杀

0x05  总结