新型 tomcat websocket 内存马检测与防护思路探究

最新推荐文章于 2025-07-16 09:24:05 发布
原创 最新推荐文章于 2025-07-16 09:24:05 发布 · 619 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tomcat #websocket #java

最近,看到网上有安全研究人员发布了一篇文章,描述了一款在 tomcat
的全新内存马,地址为:https://www.iculture.cc/forum-post/19128.html,该内存马基于
websocket 协议,有别于目前已知的见的filter型内存马、servlet
型内存马,该类型的网马从形式上还有功能上都是非常新颖的,且根据该作者描述,目前常规的内存马扫描工具(如memshell scanner)无法检测出该类型的内存马。为此,笔者对该内存马的原理进行了分析,并在此提出了一种检测该内存马的思路,可以帮助安全人员检测出此种类型内存马,从而降低业务系统安全隐患。

websocket 内存马原理

Tomcat 服务器在启动时会通过WsSci中的 WsServerContainer 将 classpath
注解下带有@ServerEndpoint的类加入到 websocket 服务中。如:
image

通过调试可以看到添加位置如下:
image

对该段代码进行分析,注册 websocket 服务步骤如下,
首先要初始化一个WsServerContainer
image<

最低0.47元/天 解锁文章
Jinmindong
关注
网络安全工具websocket webshell内存使用
SHELLCODE_8BIT的博客
09-08 863
将其中的wscmd.jsp放置到web根目录。
TomcatWebSocket集成实战:实时应用开发
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-28 966
本文旨在帮助Java Web开发者掌握在Tomcat中集成WebSocket技术的方法,理解其底层实现原理,并能够开发出高性能的实时应用。内容涵盖从基础概念到高级优化的完整知识体系。核心概念:WebSocket协议和Tomcat实现技术实现:从简单示例到完整聊天应用高级话题:性能优化和集群方案实战应用:典型场景和最佳实践WebSocket:一种在单个TCP连接上进行全双工通信的协议Tomcat:Apache软件基金会下的开源Java Servlet容器NIO。
HVV之内存检测工具
公众号:乌云安全
09-23 888
一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译。本工具不能代替杀毒软件。功能列表HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名多各可执行区段])无文件落地木检测(检测所有已知内存加载木)
Java Agent 内存攻防
顶峰
02-03 1383
在 jdk 1.5 之后引入了 java.lang.instrument 包,该包提供了检测 java 程序的Api,用于监控、收集性能信息、诊断问题等。通过 java.lang.instrument 实现的工具我们称之为 Java Agent ,JavaAgent 能够在不影响正常编译的情况下来修改字节码,即动态修改已加载或者未加载的类,包括类的属性、方法等。premain方法,在JVM启动前加载。agentmain方法,在JVM启动后加载。
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
java内存shell_Tomcat 内存检测
weixin_39860946的博客
12-02 1032
随着HW、攻防对抗的强度越来越高,各大厂商对于webshell的检测技术愈发成熟,对于攻击方来说,传统的文件落地webshell的生存空间越来越小,无文件webshell已经逐步成为新的研究趋势。三月底针对tomcat内存码的检测写了一个demo,但由于对Maven打包理解不深,整个项目结构比较糟糕。国庆前研究了LandGrey师傅的copagent项目,在该项目基础上进行了重构,并于本文中记录了...
Tomcat WebSocket
06-05
综上所述,要使用Tomcat实现WebSocket,你需要理解WebSocket的基本概念,配置Tomcat以支持WebSocket,编写WebSocket服务器端点代码,并在客户端使用适当的API服务器进行通信。同时,还需要关注性能和安全方面的...
深入浅出Shiro WebSocket内存.pdf
07-02
"深入浅出Shiro WebSocket内存" WebSocket 是一种基于 TCP 的网络协议,实现了浏览器服务器的全双工通讯,允许服务器主动发起信息个客户端。它是一种持久协议,相比于 HTTP 协议是一种无状态的、无连接的、...
TomcatWebSocket最大连接数测试
Erica_1230的专栏
04-28 4461
WebSocket现在很常用,想要测试tomcat的最大连接数,今天试了一个可行的办法和配置(之前是用全公司的设备一起来测试的,真机环境的测试收到网络的影响很大,其实真实环境应用中,网络才是websocket的最大瓶颈) 废话不多说~ 1.Tomcat需要设置的地方(很多人从网上找的配置试了不可行): 1.1修改catalina.sh或者catalina.bat文件,加上这句话(JAVA_O
反序列化分析到shiro注入WebSocket内存
weixin_42508548的博客
01-30 1332
因为一直想要学习反序列化相关的内容,并且从反序列化延伸出来学习内存,所以花了很大一部分精力,从CC1到CB,整体地过了一遍反序列化利用链。在学习过程中,发现一个很有意思的内存WebSocket内存,感觉如果用的好的话,挺符合实际需要的,所以自己大体利用了一下,很成功,在这里整理分享出来。
DuckMemoryScan:检测绝大部分所谓的内存免杀
03-04
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!本工具不能代替杀毒软件!!! 运行截图 功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测) 可疑进展检测(主要针对有逃避性质的进展[如过期签名多部分细分段]) 无文件落地木检测检测所有已知内存加载木) 简易rootkit检测检测证书过期/拦截复制/证书无效的驱动) 检测异常模块,检测绝大部分如“ iis劫持”的后门(2021年2月26日添加) 免杀木检测原理: 所有所谓的内存免杀后门大部分基于“ VirtualAlloc”函
网安面试必看:内存的排查思路
最新发布
Andytoe的博客
07-16 678
内存是一种隐蔽性强的恶意软件,通过将恶意代码注入系统内存实现攻击。其工作流程包括注入代码、修改执行流程、隐藏进程和接收控制命令。查杀内存可采取使用进程管理工具、分析网络流量、使用安全检测工具和升级安全补丁等方法。内存主要分为servlet-api型和字节码增强型两类。排查思路包括判断注入方式、分析流量特征、检查中间件漏洞和框架漏洞等。内存因其隐蔽性已成为主要网络攻击手段之一。
WebSocket内存tomcat-websocket源码实现(内存系列篇七)
小王的储物间
02-16 901
这篇主要是分析一下WebSocket协议在Tomcat容器中的源码实现,方便大家在后面能够更好的了解下一篇Websocket内存的原理。这个也是内存系列第七篇首先来了解一下什么是websocketWebSocket全双工通信协议,在客户端和服务端建立连接后,可以持续双向通信,和HTTP同属于应用层协议,并且都依赖于传输层的TCP/IP协议。虽然WebSocket有别于HTTP,是一种新协议,但是RFC 6455中规定:WebSocket
中了内存如何排查(不死
m0_62207482的博客
05-02 1296
如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者大量请求 不同url但带有相同的参数,或者页面并不存在但返回200。还有一些比较弱的特征可以用来辅助检测,比如类名称中包含shell或者为随机名,使用不常 见的classloader加载的类。如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志。如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方 法。③xml配置中没注册的。
【网络安全】Agent内存的自动分析查杀
qkh1234567的博客
05-20 1169
以上是背景,接下来介绍我做了些什么,能够实现怎样的效果不难看出,以上内存查杀手段都是半自动结合人工审核的方式,当检测内存检测(同时支持普通内存Java Agent内存检测)分析(如何确定该类是内存,仅根据恶意类名和注解等信息不完善)查杀(当确定内存存在,如何自动地删除内存并恢复正常业务逻辑)大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍关于Dump字节码经过我的一些测试,使用sa-jdi库不能保证dump。
如何排查JAVA内存
MachineGunJoe666
08-13 714
1、先查看检查服务器web日志,查看是否有可疑的web访问日志,比如说filter或者listener类型的内存,会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的请求。2、如在web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞。
Filter/Servlet型内存的扫描抓捕查杀
Websec
05-30 812
1、GitHub - c0ny1/java-memshell-scanner: 通过jsp脚本扫描java web Filter/Servlet型内存 0x01 简介 通过jsp脚本扫描并查杀各类中间件内存,比Java agent要温和一些。 0x02 截图 增加Listener型内存检测,如果不存在Listener则不显示该项 0x03 更多 Filter/Servlet型内存的扫描抓捕查杀 | 回忆飘如雪 ...
应急响应—内存排查查杀
2301_76227305的博客
03-11 2950
目前常用的查杀工具就这四款,主要是配合我们的手工进行一个查杀,如果是遇上哥斯拉的内存第一个工具估计检测不出来,因为冰蝎的内存做了hook,更加隐蔽。本来是想顺便演示一下的,但是冰蝎生成的shell死活连不上,也就放弃了。
深入探究Apache Tomcat 7.0.47WebSocket通信技术
4. WebSocketTomcat 7.0.47的具体实现 在Tomcat 7.0.47版本中,WebSocket的实现是通过RFC 6455标准来完成的。应用开发者可以通过注解或者XML配置来定义WebSocket端点,并使用编程模型来处理连接、消息发送接收、...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值