1. 项目概述与核心价值最近在整理一些实战中的工具链发现一个场景特别高频当我们通过Webshell进入一个Java应用后经常需要获取或修改一些运行时的关键配置比如Shiro的加密密钥。手动去翻代码、找配置文件效率低不说还可能触发告警。有没有一种方法能像“外科手术”一样精准、静默地操作运行中的JVM进程呢AgentInjectTool就是为解决这类问题而生的一个利器。简单来说AgentInjectTool是一个基于Java Agent技术的实战工具包。它的核心能力是向正在运行的Java进程动态注入代码从而实现内存马的植入、关键信息的提取如Shiro rememberMe密钥以及运行时配置的热修改。这相当于给了我们一把“内存手术刀”可以在不重启服务、不修改磁盘文件的情况下直接对应用内存进行“微创手术”。对于安全研究人员、红队成员以及需要进行应用诊断和应急响应的开发者而言这是一个极具价值的工具。它的核心价值在于“动态”与“无感”。传统上我们要修改一个Web应用的逻辑可能需要上传一个JSP马或者修改一个Class文件然后重启。前者会留下明显的文件痕迹后者则可能造成服务中断。而Agent技术通过JVMTI接口直接将修改后的字节码加载到目标JVM中整个过程对应用本身是透明的不会产生新的文件也无需重启极大地降低了操作的风险和可感知性。接下来我将详细拆解这个工具的设计思路、使用细节以及背后的原理并分享一些实战中积累的经验和避坑指南。2. 核心原理Java Agent与字节码注入深度解析要真正用好AgentInjectTool必须理解其底层依赖的两大核心技术Java Agent和字节码操作。这不仅是工具使用的理论基础也能帮助我们在遇到问题时快速定位和解决。2.1 Java Agent机制JVM的“后门”Java Agent并非什么“黑魔法”它是Java平台自Java 5开始提供的一个标准特性主要通过java.lang.instrument包来实现。它的设计初衷是为了支持各种监控、性能分析如Profiler、诊断工具如Arthas的实现。一个Java Agent本质上是一个特殊的JAR包其MANIFEST.MF文件中需要声明Premain-Class或Agent-Class。两者的区别在于加载时机Premain Agent在目标JVM的main方法之前执行。通常通过-javaagent:agent.jar命令行参数在应用启动时加载。这种方式适用于我们能够控制应用启动参数的场景。AgentMain Agent在目标JVM运行中动态加载。这正是AgentInjectTool所使用的模式。它依赖于VirtualMachine.attach()API来自com.sun.tools.attach包允许一个外部JVM进程连接到另一个正在运行的JVM进程并将Agent的JAR包注入进去。AgentInjectTool的inject命令其内部就是启动了一个新的Java进程这个进程使用VirtualMachine.attach(pid)连接到目标进程然后通过loadAgent(agentJarPath, options)方法将包含我们定制逻辑的Agent动态加载到目标JVM中。一旦Agent被加载其agentmain方法就会被调用这是我们植入代码的入口点。注意com.sun.tools.attach并非Java标准API的一部分它属于Oracle/Sun JDK的工具包。在OpenJDK或某些精简的JRE环境中这个包可能不存在这会导致attach失败。这是实战中需要首先排查的环境问题之一。2.2 字节码编织在运行时修改类逻辑Agent被加载后如何修改一个已经加载到JVM中的类呢这就需要用到字节码操作技术。Java程序编译后生成的是.class文件里面是JVM可以执行的字节码。我们可以通过工具在内存中读取、修改这些字节码然后让JVM重新定义这个类。AgentInjectTool主要利用了java.lang.instrument.ClassFileTransformer接口。我们实现一个ClassFileTransformer在它的transform方法中我们可以拦截到目标类的字节码在类被加载或重定义时对其进行修改然后返回新的字节码数组JVM便会加载我们修改后的版本。修改字节码本身是复杂且易错的因此我们通常借助成熟的字节码操作库如ASM或Javassist。ASM更偏向底层性能极高但使用复杂Javassist提供了基于源代码字符串的API更易于上手。从项目代码推断AgentInjectTool很可能使用了ASM因为它需要对ApplicationFilterChain、AbstractRememberMeManager等框架核心类进行非常精细的修改。以修改Shiro密钥为例其核心流程是Agent的agentmain方法被调用。创建一个ClassFileTransformer专门用于拦截org.apache.shiro.mgt.AbstractRememberMeManager类。在transform方法中使用ASM库分析该类字节码找到存储密钥的字段例如DECRYPT_CIPHER_KEY或encryptionCipherKey等不同版本可能不同。修改该字段的初始化逻辑或者直接替换其值将其改为我们指定的新密钥。通过Instrumentation.retransformClasses(Class?... classes)方法触发目标类的重转换使修改生效。这个过程完成后目标应用中所有后续的Shiro rememberMe cookie加解密都将使用我们设置的新密钥而我们无需知道原密钥也无需重启应用。2.3 内存马注入以Tomcat Filter为例除了修改配置另一个核心功能是注入内存马。项目更新日志中提到的“Tomcat的ApplicationFilterChain内存马”是一个经典案例。Tomcat处理请求时会经过一个过滤器链FilterChainApplicationFilterChain是这个链的实现类。注入内存马的目标是将一个我们自定义的恶意Filter动态地添加到这个链的最前面使得所有请求都会先经过我们的Filter。实现步骤通常如下定位与获取通过反射从Tomcat的上下文ServletContext中获取当前的FilterChain对象或者更具体地获取到ApplicationFilterChain内部的filters数组。创建恶意Filter在内存中动态创建一个实现了javax.servlet.Filter接口的类。这个类的doFilter方法包含了我们的后门逻辑例如执行命令、上传文件等。包装与插入将创建的Filter实例包装成Tomcat能识别的ApplicationFilterConfig然后将其插入到filters数组的首位。字节码持久化为了更隐蔽和持久上述通过反射的操作可能在Agent卸载后失效。因此高级的内存马会直接修改ApplicationFilterChain类的字节码在其internalDoFilter方法的最开始处硬编码插入调用我们恶意Filter的逻辑。这样即使JVM重启只要类没有被还原内存马就依然存在直到下次应用重新部署。AgentInjectTool的“兼容所有Tomcat版本”很可能就是通过适配不同版本Tomcat中ApplicationFilterChain的字节码结构来实现的。3. 工具实战从安装到攻防演练理解了原理我们来看具体怎么用。工具的使用看似简单但每个步骤都有需要注意的细节。3.1 环境准备与工具获取首先你需要一个Java运行环境。强烈建议使用JDK而非JRE因为工具依赖的tools.jar包含com.sun.tools.attach在标准的JRE中是不包含的。在Linux上你可以通过which java和java -version来确认。# 检查是否是JDK java -version # 输出应包含类似 “Java(TM) SE Runtime Environment” 和 “Java HotSpot(TM) 64-Bit Server VM” # 也可以检查是否存在 tools.jar find /usr/lib/jvm -name tools.jar 2/dev/null工具本身是一个可执行的JAR包从项目的GitHub Releases页面下载最新版本即可。下载后你可以通过java -jar AgentInjectTool.jar查看帮助信息。3.2 核心命令详解工具主要提供两个命令list和inject。1.java -jar AgentInjectTool.jar list这个命令用于列出当前系统上所有可附加的Java进程。它会显示每个进程的PID和主类名。这是寻找目标的第一步。实战技巧在Linux服务器上你可能需要以root权限运行或者当前用户需要具备向目标Java进程发送信号的权限通常目标进程的用户和当前用户相同即可。如果list命令返回为空或权限错误请检查用户权限。2.java -jar AgentInjectTool.jar inject pid path_or_key这是核心功能命令。pid目标Java进程的ID从list命令获取。path_or_key这个参数有两种用法文件路径指定一个本地文本文件的路径工具会读取该文件的内容作为新的Shiro密钥。这里有一个至关重要的细节项目文档中特别强调“一定得使用反斜杠/”。这是因为在Java命令行参数中反斜杠\是转义字符。在Windows上路径G:\temp\temp.txt需要写成G:/temp/temp.txt或者G:\\temp\\temp.txt。为了跨平台兼容统一使用正斜杠/是最佳实践。密钥字符串直接传入一个Base64编码的字符串作为新的Shiro密钥例如ES2ZK5q7qgNrkigR4EmGNg。注入Tomcat内存马的特殊命令 根据更新日志注入内存马的命令格式为java -jar AgentInjectTool.jar inject pid shell_path其中shell_path是内存马的访问路径例如/helloshell。这意味着注入后访问http://target:port/context_path/helloshell就会触发我们的内存马。3.3 完整操作流程演示修改Shiro密钥假设我们已经在目标服务器上获得了Shell并且发现了一个运行在8080端口的Spring Boot应用使用了默认的Shiro密钥。步骤1确认目标与获取PID首先我们使用list命令找到目标进程。假设我们看到如下输出PID: 12345, MainClass: org.springframework.boot.loader.JarLauncher PID: 23456, MainClass: com.sun.tools.attach.BasicLauncher很明显PID为12345的进程是我们的Spring Boot应用。步骤2准备新的密钥我们可以生成一个新的Shiro AES密钥。使用任何能生成16、24或32字节Base64字符串的工具。例如用OpenSSLopenssl rand -base64 16 # 输出类似kPHbIxk5D2deZiIxcaaaA我们将这个新密钥保存到服务器上一个临时文件比如/tmp/new_key.txt。步骤3执行密钥修改在目标服务器上执行java -jar AgentInjectTool.jar inject 12345 /tmp/new_key.txt如果一切正常控制台会输出成功的提示信息。步骤4触发并验证修改密钥的Agent逻辑通常需要触发一次Shiro的登录流程无论成功与否来激活。这是因为很多Shiro的密钥是懒加载的只有在加解密操作发生时才会被初始化。 我们可以用curl模拟一个登录请求或者直接使用Shiro反序列化漏洞检测工具如ShiroAttack2的“检测当前密钥”功能向目标发送一个payload。发送后Agent会拦截到AbstractRememberMeManager类的初始化或调用将密钥字段替换。 之后我们再使用新密钥kPHbIxk5D2deZiIxcaaaA来生成rememberMe Cookie应该就能成功登录或执行命令了。重要注意事项路径问题文件路径参数务必使用正斜杠/这是避免因转义字符导致文件读取失败的最稳妥方式。权限问题执行注入的Java进程必须能附加到目标JVM。在Linux上这意味着用户需要有向目标进程发送ptrace信号的权限。通常同用户运行或使用root权限可以解决。Java版本兼容性高版本Java如JDK 9引入了模块化系统JPMSAttach API和Instrumentation API的使用方式可能有变。工具可能对JDK 8及以下版本兼容性最好。在复杂环境下可能需要调整启动参数或使用更现代的Agent框架。3.4 防御与检测视角从蓝队和防御者的角度了解攻击技术才能更好地防御。针对此类Agent注入攻击可以采取以下措施禁用Attach API在不需要动态调试的生产环境中可以在JVM启动参数中添加-XX:DisableAttachMechanism来完全禁止外部进程附加。这是最根本的防御。使用Java Security Manager配置严格的安全策略文件限制com.sun.tools.attach等敏感类的加载。不过Security Manager在更新的Java版本中已被标记为废弃。监控JVM进程监控服务器上是否有未知的Java进程尝试attach到业务JVM。可以编写脚本监控/proc/pid/fd/下的socket连接或者直接使用RASP运行时应用自保护产品它们能够监控并拦截Instrumentation.retransformClasses等危险调用。检测内存马定期对运行中的JVM进行扫描。可以使用类似java -XX:StartAttachListener -cp $JAVA_HOME/lib/tools.jar sun.tools.jmap.JMap -dump:live,formatb,fileheap.bin pid命令导出堆内存然后使用MAT、OQL等工具搜索可疑的Filter、Servlet或Controller类名。也可以使用Arthas的scsearch class或jad反编译命令在线检查已加载的类寻找字节码中被插入的恶意片段。应用安全基线确保应用使用的第三方组件如Shiro的密钥在启动时从安全的配置中心获取而非硬编码在代码中。即使被修改重启后也会恢复。4. 高级技巧与深度定制对于想更进一步的研究者AgentInjectTool可以作为一个基础框架进行扩展。4.1 理解项目结构进行二次开发项目源于对BeichenDream/InjectJDBC的改造加入了Shiro密钥功能。要添加自己的功能你需要理解其代码结构Agent核心项目中有个agent模块里面包含了真正被注入到目标JVM的代码。你需要修改这里的逻辑例如编写一个新的ClassFileTransformer来修改其他框架的类比如修改Spring的RequestMappingHandlerMapping来注入一个Controller内存马。注入器主JAR包AgentInjectTool.jar是一个启动器它负责Attach到目标进程并加载Agent JAR。你可能需要修改这里来传递更多的参数给你的Agent。字节码操作这是最复杂的部分。你需要熟悉ASM或Javassist并理解目标类的字节码结构。可以通过先写一个普通的Java类编译后用javap -c查看其字节码再思考如何用ASM API动态生成等价的修改逻辑。4.2 扩展功能设想基于此工具模式可以扩展出许多实用功能动态修改日志级别在应急排查时动态将某个关键类的日志级别从INFO调整为DEBUG无需重启即可获取更详细的日志输出。热修复漏洞对于某些无法立即重启修复的漏洞可以尝试通过注入Agent在内存中修改漏洞类的逻辑实现临时热修复。提取数据库连接池配置注入代码到HikariCP、Druid等连接池的实现类中动态提取其内存中的数据库连接字符串、用户名密码。拦截并修改特定方法返回值用于测试或故障模拟例如让某个Service方法总是返回一个特定的异常或值。4.3 稳定性与隐蔽性优化在实战中工具的稳定性和隐蔽性至关重要。错误处理确保Agent的agentmain方法和ClassFileTransformer的transform方法有完善的try-catch避免因为某个类转换失败导致整个Agent加载失败甚至引起目标JVM崩溃。可以将错误信息静默记录到内存或通过某种隐蔽通道传出。减少影响修改字节码时尽量只修改必要的最小部分。例如修改Shiro密钥时最好只替换密钥常量而不是重写整个类的方法以降低对应用稳定性的影响。清理痕迹Agent加载后可以考虑将自己从Instrumentation的转换器列表中移除并尝试关闭Attach连接使得在目标JVM的线程列表或连接列表中更难被发现。对抗检测针对RASP的检测可以尝试使用更底层的JVMTI接口或者利用Java的反射机制来间接调用InstrumentationAPI绕过一些基于API Hook的检测。5. 常见问题排查与实战心得在实际使用过程中你可能会遇到各种问题。下面是一些常见问题的排查思路和我个人踩过的坑。5.1 问题排查速查表问题现象可能原因排查步骤与解决方案list命令无输出或报错1. 权限不足2. 目标进程非HotSpot JVM3. 使用了JRE而非JDK1. 尝试使用sudo或以目标进程所属用户身份运行。2. 检查java -version确认是Oracle/OpenJDK HotSpot。3. 确认JAVA_HOME指向JDK且lib/tools.jar存在。inject命令失败提示com.sun.tools.attach.AttachNotSupportedException1. 权限不足2. 目标PID不存在或不是Java进程3. 目标JVM以-XX:DisableAttachMechanism启动1. 检查权限同上。2. 用ps -ef | grep java或jps -l再次确认PID。3. 此情况无法远程Attach需寻找其他途径。inject命令执行成功但Shiro密钥未改变1. 未触发Shiro类加载/初始化2. 目标Shiro版本或实现不同关键类名/字段名不匹配3. 文件路径错误密钥未正确读取1. 发送一个Shiro登录请求无论对错以触发类加载。2. 检查目标应用使用的Shiro版本Agent逻辑可能需要适配。可尝试先获取密钥看是否成功。3.重点检查文件路径格式确保使用/并且文件内容是正确的Base64密钥。注入后应用出现异常或崩溃1. 字节码修改错误导致类结构破坏2. 与目标JVM版本不兼容如JDK 11的模块化3. Agent代码存在Bug产生死循环或内存泄漏1. 立即停止操作。此类操作应在测试环境充分验证后再用于生产或实战。2. 在类似版本的环境中测试工具兼容性。3. 查看目标JVM的日志如catalina.out, stdout寻找ClassFormatError,VerifyError等异常堆栈。工具本身报ClassNotFoundException或NoClassDefFoundError依赖缺失AgentInjectTool.jar不是可执行Fat Jar或缺少tools.jar确保使用项目发布的完整Release包并在包含tools.jar的JDK环境下运行。5.2 实战心得与注意事项测试环境先行任何Agent注入操作都有导致JVM崩溃的风险。务必先在和目标环境JDK版本、中间件版本、应用框架尽可能一致的测试环境中进行验证。可以自己搭建一个简单的Spring Boot Shiro应用进行练习。理解“副作用”修改运行时的类定义是危险操作。它可能导致内存泄漏原来的类定义被替换但如果仍有线程持有旧类实例的引用可能导致奇怪的行为或内存无法释放。验证错误字节码修改如果不符合JVM规范会抛出VerifyError。兼容性问题修改后的类可能与依赖它的其他类不兼容。 因此这类工具应仅用于安全研究、授权测试和紧急的故障诊断切忌在重要的生产环境随意使用。关于“通用性”项目宣称“兼容所有的Tomcat版本”这通常意味着它内置了针对多个Tomcat版本如7.x, 8.x, 9.x的ApplicationFilterChain类的字节码修改模板。但软件世界变化快新版本可能随时引入变化。对于Shiro密钥修改不同版本1.2.x, 1.4.x, 1.5的AbstractRememberMeManager内部实现也可能有差异。工具不是银弹遇到不成功的情况需要结合错误日志和反编译结果进行具体分析。法律与授权再次强调此类工具功能强大但必须在合法合规的范围内使用。仅用于自身拥有所有权或已获得明确书面授权的系统进行安全评估、渗透测试和漏洞研究。未经授权对他人系统使用是违法行为。最后技术本身是中立的。Java Agent技术是JVM提供给开发者的强大诊断和扩展能力像Arthas这样的优秀工具正是基于此构建极大提升了开发运维效率。AgentInjectTool展示了这项技术的另一面。作为安全从业者我们深入研究它既是为了在需要时能使用它作为“手术刀”更是为了能更好地构建“免疫系统”防御它可能带来的威胁。理解攻击是为了更好的防御。