RASP内存马后渗透技术深度分析<\/h1>

1. RASP技术概述<\/h2>

RASP（Runtime Application Self-Protection）是一种运行时应用程序自我保护技术，于2014年提出。其核心特点包括：<\/p>

实现方式<\/strong>：通过Instrumentation编写Agent，在Agent的premain和agentmain方法中加入检测类（通常继承ClassFileTransformer）<\/li>
监控机制<\/strong>：当程序运行时，检测字节码文件中是否包含敏感类文件（如ProcessImpl等）<\/li>

核心API<\/strong>：

ClassFileTransformer<\/code>：允许在类加载前或类重新定义时对字节码进行转换<\/li>
Instrumentation<\/code>：提供启动时代理和重新定义类的能力<\/li> <\/ul> <\/li> <\/ul> 与传统WAF对比：<\/p> 实现更为底层<\/li> 规则制定更简单<\/li> 攻击行为识别更精准<\/li> <\/ul> 2. 题目环境分析<\/h2> 2.1 题目背景<\/h3> 环境：SpringBoot应用<\/li> 提供文件：JAR包和RASP组件<\/li> 漏洞点：\/user\/info<\/code>接口的data<\/code>参数可传入Base64编码的恶意字节码<\/li> 依赖：包含Commons Collections(CC)依赖<\/li> <\/ul> 2.2 安全限制<\/h3> SecurityObjectInputStream<\/code>类中的黑名单<\/li> RASP插件禁用的黑名单<\/li> <\/ul> 3. 利用链分析<\/h2> 3.1 可用链分析<\/h3> 发现以下组件未被禁用：<\/p> LazyMap<\/li> DefaultedMap<\/li> Hashtable<\/li> <\/ul> 3.2 链构造思路<\/h3> 采用CC7前半段+CC3后半段的组合链，利用DefaultedMap<\/code>的特性：<\/p> DefaultedMap<\/code>有readObject()<\/code>方法<\/li> 反序列化触发Hashtable#readObject()<\/code><\/li> 传入的key是DefaultedMap<\/code>实例<\/li> 调用reconstitutionPut(table, key, value)<\/code><\/li> <\/ol> 3.3 关键调用流程<\/h3> DefaultedMap<\/code>继承AbstractMapDecorator<\/code>，调用其equals<\/code>方法<\/li> map<\/code>属性通过DefaultedMap<\/code>传递<\/li> 通过DefaultedMap.decorate<\/code>静态方法将HashMap<\/code>传给map<\/code>属性<\/li> 最终调用HashMap<\/code>的equals<\/code>方法（继承自AbstractMap<\/code>）<\/li> <\/ol> 3.4 AbstractMap.equals关键判断<\/h3> 是否为同一对象<\/li> 对象的运行类型<\/li> Map中元素个数（需两个以上）<\/li> 判断元素的key和value内容是否相同<\/li> <\/ol> 3.5 利用点<\/h3> 当value是transformer<\/code>实例时，会调用transform<\/code>方法。可利用：<\/p> InstantiateTransformer<\/code>：transformer的实例化类<\/li> TrAXFilter<\/code>：其构造方法会调用TransformerImpl<\/code>的newTransformer<\/code>从而加载类<\/li> <\/ul> 4. 内存马构造与利用<\/h2> 4.1 初始内存马问题<\/h3> 直接使用内存马只能回显"you_are_successful!"，无法执行命令<\/p> 4.2 RASP绕过方法<\/h3> 方法一：修改配置参数<\/h4> 分析rasp-engine.jar<\/code>中的com.baidu.openrasp.config.Config<\/code>类：<\/p> 禁用Hook<\/strong>：修改disableHooks<\/code>属性<\/li> 白名单绕过<\/strong>：修改hookWhiteAll<\/code>和cloudSwitch<\/code>值<\/li> Hook处理器<\/strong>：修改HookHandler<\/code><\/li> <\/ol> 方法二：双重内存马注入<\/h4> 需要打两次内存马，较为复杂<\/p> 4.3 文件操作技术<\/h3> 文件写入+读取<\/h4> \/\/ 示例代码框架 <\/span><\/span><\/span><\/span>public<\/span> void<\/span> fileOperation<\/span>()<\/span> {<\/span> <\/span><\/span> \/\/ 文件写入逻辑 <\/span><\/span><\/span><\/span> \/\/ 文件读取逻辑 <\/span><\/span><\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>命令执行技术<\/h4> 方法1<\/strong>：创建新进程绕过<\/p> \/\/ UNIX\/Linux系统 <\/span><\/span><\/span><\/span>ProcessBuilder pb =<\/span> new<\/span> ProcessBuilder(<\/span>cmd);<\/span> <\/span><\/span>Process p =<\/span> pb.<\/span>start<\/span>();<\/span> <\/span><\/span>\/\/ 获取输出流等操作 <\/span><\/span><\/span><\/code><\/pre>方法2<\/strong>：Hook点利用<\/p> \/\/ 使用ProcessImpl或Unsafe类 <\/span><\/span><\/span>\/\/ Win下使用ProcessImpl <\/span><\/span><\/span><\/code><\/pre>4.4 完整内存马实现<\/h3> 命令执行+回显解决方案<\/h4> 解决NullPointerException<\/code>问题：<\/p> \/\/ 初始化静态变量 <\/span><\/span><\/span><\/span>static<\/span> {<\/span> <\/span><\/span> \/\/ 初始化代码 <\/span><\/span><\/span><\/span>}<\/span> <\/span><\/span> <\/span><\/span>\/\/ 完整流程 <\/span><\/span><\/span><\/span>public<\/span> void<\/span> executeCommand<\/span>()<\/span> {<\/span> <\/span><\/span> \/\/ 获取PID <\/span><\/span><\/span><\/span> \/\/ 初始化命令执行 <\/span><\/span><\/span><\/span> \/\/ 转换输出流 <\/span><\/span><\/span><\/span> \/\/ 输出结果 <\/span><\/span><\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>UNIX\/Linux系统实现<\/h4> \/\/ 使用ProcessImpl获取PID <\/span><\/span><\/span>\/\/ 执行命令并处理输入输出流 <\/span><\/span><\/span><\/code><\/pre>5. 完整利用流程<\/h2> 构造恶意序列化链<\/strong>：<\/p> 组合CC7和CC3链<\/li> 使用DefaultedMap<\/code>和InstantiateTransformer<\/code><\/li> 最终触发TrAXFilter<\/code>构造方法<\/li> <\/ul> <\/li> 绕过RASP检测<\/strong>：<\/p> 修改RASP配置参数<\/li> 或采用双重内存马注入<\/li> <\/ul> <\/li> 内存马注入<\/strong>：<\/p> 实现命令执行和文件操作功能<\/li> 处理回显问题<\/li> <\/ul> <\/li> 利用过程<\/strong>：<\/p> 通过\/user\/info<\/code>接口传入恶意Base64编码<\/li> 触发反序列化漏洞<\/li> 加载内存马<\/li> 执行系统命令或文件操作<\/li> <\/ul> <\/li> <\/ol> 6. 防御建议<\/h2> RASP配置加固<\/strong>：<\/p> 保护关键配置参数<\/li> 防止运行时修改<\/li> <\/ul> <\/li> 代码层面<\/strong>：<\/p> 严格限制反序列化操作<\/li> 使用安全的ObjectInputStream实现<\/li> <\/ul> <\/li> 依赖管理<\/strong>：<\/p> 及时更新存在漏洞的库（如Commons Collections）<\/li> <\/ul> <\/li> 运行时监控<\/strong>：<\/p> 监控可疑的类加载行为<\/li> 检测内存马注入行为<\/li> <\/ul> <\/li> <\/ol> 7. 总结<\/h2> 本文详细分析了基于RASP环境下的内存马后渗透技术，重点包括：<\/p> RASP工作原理和绕过方法<\/li> Commons Collections反序列化链的构造<\/li> 内存马的实现和优化<\/li> 完整的利用流程和防御建议<\/li> <\/ul> 该技术展示了在安全防护日益增强的环境下，攻击者如何通过深入分析防护机制和利用框架特性实现有效攻击，同时也强调了多层次防御的重要性。<\/p>