文章总结： 该文档详细演示了在Windows环境下利用Tomcat内存马实现权限维持的完整攻击链。实验通过配置Tomcat后台、上传war包获取WebShell，使用哥斯拉和冰蝎工具生成并注入JSP内存马，最终验证了即使删除物理木马文件，内存马仍能维持访问权限（重启后失效）的实战效果。 综合评分： 78 文章分类： 渗透测试,WEB安全,红队,内网渗透,实战经验

Windows Tomcat内存马权限维持实战

原创

晨星安全团队 晨星安全团队

晨星安全团队

2026年5月11日 15:44 湖南

在小说阅读器读本章

去阅读

Windows Tomcat内存马权限维持

实验环境

打开靶场运行小皮启动 Apache

启动 TomCat，路径是bin/startup.bat

Tomcat后台访问配置

这里需要先将白名单中的 IP 改为本机 IP，不然访问不了后台

成功登录

获取初始WebShell

找到上传点上传war包GetShell

访问我们上传的 war 包（注意 URL 路径）

JSP木马生成与连接

打开哥斯拉

生成 JSP 木马

成功

内存马注入

上传上去

添加目标连接木马

右键进入

点击文件管理查看落地位置

找到文件

使用冰蝎重新传入一个木马

成功连接

右键注入内存马

选择 Agent 点击保存

注入成功，并且出现新的连接

权限维持验证

没有发现落地文件，在哥斯拉中删掉冰蝎传上的木马

可以发现连接失败

但是内存马无影响（重启后则立马消失）

作者：雾島风起時

-END-

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：晨星安全团队 晨星安全团队 晨星安全团队《Windows Tomcat内存马权限维持实战》