新型 tomcat websocket 内存马检测与防护思路探究

最新推荐文章于 2024-06-24 21:21:47 发布
最新推荐文章于 2024-06-24 21:21:47 发布
阅读量477 收藏 1
点赞数
文章标签: tomcat websocket java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2207/article/details/129407007
版权

最近,看到网上有安全研究人员发布了一篇文章,描述了一款在 tomcat
的全新内存马,地址为:https://www.iculture.cc/forum-post/19128.html,该内存马基于
websocket 协议,有别于目前已知的见的filter型内存马、servlet
型内存马,该类型的网马从形式上还有功能上都是非常新颖的,且根据该作者描述,目前常规的内存马扫描工具(如memshell scanner)无法检测出该类型的内存马。为此,笔者对该内存马的原理进行了分析,并在此提出了一种检测该内存马的思路,可以帮助安全人员检测出此种类型内存马,从而降低业务系统安全隐患。

websocket 内存马原理

Tomcat 服务器在启动时会通过WsSci中的 WsServerContainer 将 classpath
注解下带有@ServerEndpoint的类加入到 websocket 服务中。如:
image

通过调试可以看到添加位置如下:
image

对该段代码进行分析,注册 websocket 服务步骤如下,
首先要初始化一个WsServerContainer
image

通过扫描 classpath 下的带注解的类并加入一个 iterator 之中,
image

然后遍历该列表,

最低0.47元/天 解锁文章
Jinmindong
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全工具websocket webshell内存使用
SHELLCODE_8BIT的博客
09-08 676
将其中的wscmd.jsp放置到web根目录。
Tomcat WebSocket
06-05
综上所述,要使用Tomcat实现WebSocket,你需要理解WebSocket的基本概念,配置Tomcat以支持WebSocket,编写WebSocket服务器端点代码,并在客户端使用适当的API与服务器进行通信。同时,还需要关注性能和安全方面的...
推荐一款强大的Webshell管理工具:wsMemShell
gitblog_00025的博客
03-26 306
推荐一款强大的Webshell管理工具:wsMemShell 项目地址:https://gitcode.com/veo/wsMemShell 项目简介 wsMemShell 是一个基于Web的内存管理工具,旨在提供一种安全、便捷的方式来管理和操控远程服务器上的Webshell。这个开源项目由Veo开发并维护,它利用WebSocket协议实现实时交互,提供了一种类似于命令行终端的用户体验。 技术分...
内存查杀工具使用
最新发布
m0_64777251的博客
06-24 622
jadheapdump干货|冰蝎、哥斯拉 内存应急排查_冰蝎内存-CSDN博客。
websocket内存
qq_53263789的博客
08-08 1243
websocket内存
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
TomcatWebSocket最大连接数测试
Erica_1230的专栏
04-28 4275
WebSocket现在很常用,想要测试tomcat的最大连接数,今天试了一个可行的办法和配置(之前是用全公司的设备一起来测试的,真机环境的测试收到网络的影响很大,其实真实环境应用中,网络才是websocket的最大瓶颈) 废话不多说~ 1.Tomcat需要设置的地方(很多人从网上找的配置试了不可行): 1.1修改catalina.sh或者catalina.bat文件,加上这句话(JAVA_O
中了内存如何排查(不死
m0_62207482的博客
05-02 797
如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者大量请求 不同url但带有相同的参数,或者页面并不存在但返回200。还有一些比较弱的特征可以用来辅助检测,比如类名称中包含shell或者为随机名,使用不常 见的classloader加载的类。如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志。如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方 法。③xml配置中没注册的。
深入浅出Shiro WebSocket内存.pdf
07-02
"深入浅出Shiro WebSocket内存" WebSocket 是一种基于 TCP 的网络协议,实现了浏览器与服务器的全双工通讯,允许服务器主动发起信息个客户端。它是一种持久协议,相比于 HTTP 协议是一种无状态的、无连接的、...
Tomcat 实现WebSocket详细介绍
09-01
Tomcat,作为一款广泛使用的Java Servlet容器,也支持WebSocket的实现,使得开发者可以在Tomcat上构建实时交互的应用。 WebSocket协议的通信过程包括一个关键的“握手”阶段。在客户端,通过发送一个HTTP请求来发起...
基于Tomcat7、Java、Ext、WebSocket的聊天室
08-01
WebSocket是一种在客户端与服务器之间建立持久连接的协议,它允许双方进行全双工通信,即数据可以在两个方向上同时传输,极大地提高了实时性。在基于Tomcat7、Java、Ext和WebSocket的聊天室项目中,这些技术共同构建...
DuckMemoryScan:检测绝大部分所谓的内存免杀
03-04
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!本工具不能代替杀毒软件!!! 运行截图 功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测) 可疑进展检测(主要针对有逃避性质的进展[如过期签名与多部分细分段]) 无文件落地木检测检测所有已知内存加载木) 简易rootkit检测检测证书过期/拦截复制/证书无效的驱动) 检测异常模块,检测绝大部分如“ iis劫持”的后门(2021年2月26日添加) 免杀木检测原理: 所有所谓的内存免杀后门大部分基于“ VirtualAlloc”函
Tomcat实现WebSocket的方法
09-30
WebSocket协议属于HTML5标准,越来越多浏览器已经原生支持WebSocket,它能让客户端和服务端实现双向通信。这篇文章主要介绍了Tomcat实现WebSocket的方法的相关资料,需要的朋友可以参考下
【网络安全】Agent内存的自动分析与查杀
qkh1234567的博客
05-20 815
以上是背景,接下来介绍我做了些什么,能够实现怎样的效果不难看出,以上内存查杀手段都是半自动结合人工审核的方式,当检测内存检测(同时支持普通内存Java Agent内存检测)分析(如何确定该类是内存,仅根据恶意类名和注解等信息不完善)查杀(当确定内存存在,如何自动地删除内存并恢复正常业务逻辑)大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍关于Dump字节码经过我的一些测试,使用sa-jdi库不能保证dump。
HVV之内存检测工具
公众号:乌云安全
09-23 726
一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译。本工具不能代替杀毒软件。功能列表HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])无文件落地木检测(检测所有已知内存加载木)
Filter/Servlet型内存的扫描抓捕与查杀
Websec
05-30 686
1、GitHub - c0ny1/java-memshell-scanner: 通过jsp脚本扫描java web Filter/Servlet型内存 0x01 简介 通过jsp脚本扫描并查杀各类中间件内存,比Java agent要温和一些。 0x02 截图 增加Listener型内存检测,如果不存在Listener则不显示该项 0x03 更多 Filter/Servlet型内存的扫描抓捕与查杀 | 回忆飘如雪 ...
浅析JavaWeb内存基础原理与查杀思路
道阻且长,行则将至。
04-04 4262
传统的 Webshell 后门很容易被当前 WAF、HIDS、EDR 等安全设备检测出来,于是无文件落地的内存技术得以诞生并快速发展。本文简要分析了Java内存的原理、分类,并实践了主流Webshell客户端管理工具内存的使用与当前应对内存的一些查杀思路、手段。
反序列化分析到shiro注入WebSocket内存
weixin_42508548的博客
01-30 946
因为一直想要学习反序列化相关的内容,并且从反序列化延伸出来学习内存,所以花了很大一部分精力,从CC1到CB,整体地过了一遍反序列化利用链。在学习过程中,发现一个很有意思的内存WebSocket内存,感觉如果用的好的话,挺符合实际需要的,所以自己大体利用了一下,很成功,在这里整理分享出来。
Java后端WebSocketTomcat中的实现与优势
"本文档详细阐述了如何在Java后端使用Tomcat实现WebSocket技术,以满足现代Web应用对实时通信的需求。WebSocket协议作为HTML5的一部分,解决了传统HTTP协议的无状态问题,允许服务端主动向客户端推送数据,极大地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值