文章总结： 本文档记录了一次Tomcat服务器应急响应实战，攻击者通过多种方式维持权限：1)植入ELF可执行文件后门于/var/crash目录；2)修改/etc/profile实现登录自启动；3)添加crontab定时任务持久化；4)部署JSP内存马（字节码马）于webapps/a目录及examples/login.jsp，利用类加载器机制执行恶意代码；5)篡改manager/context.xml允许任意IP访问管理后台；6)创建后门用户dev并赋予root权限。处置方案包括：删除恶意文件、清理配置文件、移除定时任务、重建用户体系，最终彻底清除所有入侵痕迹。 综合评分： 85 文章分类： 应急响应,漏洞分析,实战经验,WEB安全,内网渗透

破阵阁・网安淬锋巅峰赛 应急响应WP

原创

江思澄 江思澄

云晞科技Sec

2026年2月7日 18:19 湖北

应急拯救计划：隐匿潜袭

攻击者手法全面升级，在Tomcat服务器中留下了更深层的后门。请彻底排查所有入侵痕迹，只有完美清除所有后门，才能获取最终的flag！

账号 root
密码 idgfxuxvr2tqekhz

Tomcat后门程序

先通过netstat命令来查看一下java进程

netstat -anptu

tomcat放到了/var/crash目录下。这个程序刚刚异常退出了（Exit 1），crash是崩溃转储目录，很奇怪。

看到tomcat的文件头是elf可执行文件，确定这就是后门程序

rm -rf tomcat

profile文件是当我们登陆shell时自动运行的文件。

profile文件中也有后门静默运行的命令痕迹，清除掉

vim /etc/profile

后门持久化文件检查

清除持久化

crontab -r

内存马清除

a命名的可疑目录

find /opt/apache-tomcat-8.5.100/webapps

login.jsp没有内容？怀疑是内存马落脚点，源码被清空但编译类仍在。

找到编译后的落脚点：

/opt/apache-tomcat-8.5.100/work/Catalina/localhost/a/org/apache/jsp/login_jsp.java
# 编译残留在work目录

定位后门位置

典型的 JSP/Servlet “类加载器后门（字节码马）”：攻击者发一个参数，服务端把它当成 Java 类加载进 JVM，然后把 request/response 传进去执行。

rm -rf /opt/apache-tomcat-8.5.100/work/Catalina/localhost/a/
rm -rf /opt/apache-tomcat-8.5.100/webapps/a
rm -rf /opt/apache-tomcat-8.5.100/webapps/examples/login.jsp
# examples/login.jsp 同样也是后门落脚点

vim /opt/apache-tomcat-8.5.100/webapps/manager/META-INF/context.xml

^.*$ 等于允许任意来源IP访问manager，这是后门化配置，正常应只允许本地访问，manager 文件被篡改

后门用户清除

发现dev的所属组和root所属组一致，相当于dev的权限等同于root，怀疑是后门用户，删除掉

sed -i '/^dev:/d' /etc/passwd
sed -i '/^dev:/d' /etc/shadow
sed -i '/^dev:/d' /etc/group
sed -i '/^dev:/d' /etc/gshadow

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云晞科技Sec 江思澄 江思澄《破阵阁・网安淬锋巅峰赛 应急响应WP》