内存Webshell马详解

一、内存马概述

1、内存马简介

内存webshell相比于常规webshell更容易躲避传统安全监测设备的检测，通常被用来做持久化，规避检测，持续驻留目标服务器。无文件攻击、内存Webshell、进程注入等基于内存的攻击手段也受到了大多数攻击者青睐。

内存马是无文件攻击的一种常用手段，随着攻防演练热度越来越高：攻防双方的博弈，流量分析、EDR等专业安全设备被蓝方广泛使用，传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到。因此内存马近年来越来越被重视，逐渐成为了攻击方的“必备武器”，针对内存马的防护也越来越被重视。

无文件攻击可以有效地躲避传统安全软件的检测，它们可以在系统的内存中远程加载执行、驻留在注册表中或滥用常用的白名单工具，例如PowerShell，Windows Management Instrumentation（WMI）和PsExec等。无文件攻击技术允许攻击者访问系统，从而启用后续的恶意活动。

通过操纵漏洞利用程序、合法工具、宏和脚本，攻击者可以破坏系统、提升特权或在网络上横向传播恶意代码。而且，无文件威胁在执行后不会留下任何痕迹，这使其难以被检测和清除。

2、内存马类型

根据内存马注入的方式，大致可以将内存马划分为如下两类：

• servlet-api型

通过命令执行等方式动态注册一个新的listener、filter或者servlet，从而实现命令执行等功能。特定框架、容器的内存马原理与此类似，如spring的co