深入浅出Shiro WebSocket内存马.pdf

1.什么是 WebSocket？

websocket 协议是基于 TCP 的一种新的网络协议。它实现了浏览器与服务器的

全双工通讯-允许服务器主动发起信息个客户端，

websocket’是一种持久协议，http 是非持久协议。在 websocket 出现之前，

是通过通过 ajax 轮询来实现网站实时推送消息给浏览器客户端。轮询是指由浏

览器每隔一段时间向服务器发出 HTTP 请求，然后服务器返回最新的数据给客

户端。轮询的效率低，非常浪费资源。

在通俗来将，大家访问网页都是 http:// 而 WebSocket 链接方式为 ws://

2. WebSocket 入门

首先导入 maven 依赖

<dependency>

<groupId>org.java-websocket</groupId>

<artifactId>Java-WebSocket</artifactId>

<version>1.5.3</version>

</dependency>

而在使用 WebSocket 也是非常简单

public class SocketServer extends WebSocketServer {

clientHandshake) {

System.out.println("有人连接");

}

@Override

public void onClose(WebSocket webSocket, int i, String s, boolean

b) {

}

e.printStackTrace();

}

}

@Override

public void onError(WebSocket webSocket, Exception e) {

}

@Override

客户端链接之后，客户端做出什么样的操作，服务端就执行哪个方法，这样说

起来肯定就很容易理解了。

接下来讲解下 WebSocketServer 上方重写的方法，可以执行哪些功能

onOpen * * 连接建立后触发的方法

onClose * * 连接关闭后触发的方法

onMessage * * 接收到客户端消息时触发的方法

onError * * 发生错误时触发的方法

接下来通过 main 函数启动即可，启动之后则会监听 8877 端口等待客户端链接

稍后可以找一个在线 WebSocket 客户端进行发送即可，看如下，本人发送了

在 tomcat 中可以通过 WsSic 对 WebSocket 进行操作和处理。而 shiro 注入内存

马，最常见的就是 Filter，本篇主要注重 WebSocket 内存马的注入。

首先准备一个可以进行 WebSocket 的服务端，主要功能就是传参到 onMessage

进行执行命令

类似于前面那种即可，当然也可以找一下网上师傅们的代码也可以。

利用 javassist 生成为字节码