文章总结： 该文档详细演示了在Windows环境下利用Tomcat部署内存马的完整攻击链，包括环境搭建、后台配置、WebShell获取、JSP木马生成连接、内存马注入及权限维持验证。关键发现表明内存马可在不落地文件的情况下实现权限维持，但服务器重启后失效。可操作建议涉及使用哥斯拉和冰蝎等工具进行多层木马部署。 综合评分： 78 文章分类： 渗透测试,红队,内网渗透,WEB安全,恶意软件

Windows Tomcat内存马权限维持实战

原创

晨星安全团队 晨星安全团队

晨星安全团队

2026年5月11日 15:44 湖南

在小说阅读器读本章

去阅读

Windows Tomcat内存马权限维持

实验环境

打开靶场运行小皮启动 Apache

启动 TomCat，路径是bin/startup.bat

Tomcat后台访问配置

这里需要先将白名单中的 IP 改为本机 IP，不然访问不了后台

成功登录

获取初始WebShell

找到上传点上传war包GetShell

访问我们上传的 war 包（注意 URL 路径）

JSP木马生成与连接

打开哥斯拉

生成 JSP 木马

成功

内存马注入

上传上去

添加目标连接木马

右键进入

点击文件管理查看落地位置

找到文件

使用冰蝎重新传入一个木马

成功连接

右键注入内存马

选择 Agent 点击保存

注入成功，并且出现新的连接

权限维持验证

没有发现落地文件，在哥斯拉中删掉冰蝎传上的木马

可以发现连接失败

但是内存马无影响（重启后则立马消失）

作者：雾島风起時

-END-

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：晨星安全团队 晨星安全团队 晨星安全团队《Windows Tomcat内存马权限维持实战》