JspFinder工具教学文档：基于ASM污点流扫描的JSP Webshell检测<\/h1>

一、工具概述<\/h2>
JspFinder是一款基于ASM污点流分析技术的JSP Webshell检测工具，能够有效识别各种类型的JSP Webshell，包括但不限于：<\/p>
Runtime.exec类Webshell<\/li>
ProcessBuilder类Webshell<\/li>
ScriptEngine类Webshell<\/li>
冰蝎\/哥斯拉\/天蝎等加密Webshell<\/li> <\/ul>
二、工具使用方式<\/h2>

基本命令<\/h3>
java -jar JspFinder-1.0.0-SNAPSHOT-jar-with-dependencies.jar 
<\/span><\/span>  -d <web目录路径> 
<\/span><\/span>  -cp <中间件jar包目录>
<\/span><\/span><\/code><\/pre>参数说明<\/h3>

-d<\/code>：必需参数，指定需要扫描的web目录<\/li>
-cp<\/code>：推荐参数，指定依赖的中间件jar包目录（如Tomcat的lib目录）<\/li>
<\/ul>
示例<\/h3>
java -jar JspFinder-1.0.0-SNAPSHOT-jar-with-dependencies.jar 
<\/span><\/span>  -d D:\t<\/span>omcat环境\a<\/span>pache-tomcat-8.0.50-windows-x64\a<\/span>pache-tomcat-8.0.50 
<\/span><\/span>  -cp D:\t<\/span>omcat环境\a<\/span>pache-tomcat-8.0.50-windows-x64\a<\/span>pache-tomcat-8.0.50\l<\/span>ib
<\/span><\/span><\/code><\/pre>三、技术原理详解<\/h2>
1. JSP到Class的转换<\/h3>
JspFinder使用Tomcat的jasper包将JSP文件编译为class文件：<\/p>

JSP执行逻辑会被放入__jspService<\/code>方法中<\/li>
自定义方法在编译后保持原方法名和方法体不变<\/li>
<\/ul>
特殊文件名处理<\/strong>：<\/p>

当JSP文件名包含非Java可识别字符时，jasper会修改文件名（如将"-"转换为"_002d"）<\/li>
工具内部维护了原始文件名与编译后文件名的映射关系<\/li>
<\/ul>
2. 污点分析核心流程<\/h3>
2.1 方法调用关系分析<\/h4>

通过ASM分析类文件，构建方法调用关系图<\/li>
对方法进行逆拓扑排序（确保先分析被调用的方法，再分析调用者）<\/li>
<\/ol>
2.2 污点传播分析<\/h4>

分析方法的哪个参数会影响返回值<\/li>
示例分析结果格式：类名 方法名 方法描述符 污染参数位置<\/code><\/li>
<\/ul>
特殊处理<\/strong>：<\/p>

非静态方法的第0号参数是类实例<\/li>
静态方法的参数从0开始编号<\/li>
<\/ul>
3. 关键技术改进点<\/h3>
3.1 构造方法的污点传递<\/h4>
public<\/span> String abc<\/span>(<\/span>String abc)<\/span> {<\/span>
<\/span><\/span>    return<\/span> new<\/span> String(<\/span>abc);<\/span>  \/\/ 构造方法也能传递污点
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>
在ASM模拟中，即使构造方法无返回值，也需要将污点传递给新建对象<\/li>
<\/ul>
3.2 集合操作的污点处理<\/h4>
List<<\/span>String><\/span> cmds =<\/span> new<\/span> ArrayList<>();<\/span>
<\/span><\/span>cmds.<\/span>add<\/span>(<\/span>"cmd.exe"<\/span>);<\/span>
<\/span><\/span>cmds.<\/span>add<\/span>(<\/span>"\/c"<\/span>);<\/span>
<\/span><\/span>cmds.<\/span>add<\/span>(<\/span>cmd);<\/span>  \/\/ 污点参数
<\/span><\/span><\/span><\/code><\/pre>
通过跟踪astore<\/code>指令记录变量在本地变量表中的位置<\/li>
当执行List.add<\/code>时，将污点传播到集合对象本身<\/li>
<\/ul>
3.3 字符串操作模拟<\/h4>


Base64编码\/解码<\/strong>：<\/p>

跟踪LDC指令加载的字符串常量<\/li>
模拟Base64解码过程，保持污点传播<\/li>
<\/ul>
<\/li>

字节数组转字符串<\/strong>：<\/p>

跟踪BIPUSH<\/code>指令压入的ASCII码<\/li>
模拟new String(byte[])<\/code>操作，还原原始字符串<\/li>
<\/ul>
<\/li>
<\/ol>
3.4 反射调用检测<\/h4>

跟踪反射调用的类名和方法名<\/li>
当发现反射调用Runtime<\/code>或ProcessBuilder<\/code>时，判定为Webshell<\/li>
<\/ul>
4. 恶意方法检测流程<\/h3>

从逆拓扑排序结果开始分析<\/li>
维护危险方法集合EvilDataflow<\/code><\/li>
检测到调用危险方法时，记录方法名和污染参数位置<\/li>
当分析到__jspService<\/code>方法时：

如果request参数（1号位）能流入危险方法，判定为Webshell<\/li>
<\/ul>
<\/li>
<\/ol>
四、高级检测能力<\/h2>
1. 加密Webshell检测<\/h3>

能够处理Base64编码的类名和方法名<\/li>
能够处理字节数组形式的反射调用<\/li>
<\/ul>
2. 多方法调用链分析<\/h3>

支持分析跨多个方法的污点传播<\/li>
示例：
public<\/span> void<\/span> webshell<\/span>(<\/span>String cmd)<\/span> {<\/span>
<\/span><\/span>    String processedCmd =<\/span> processInput(<\/span>cmd);<\/span>  \/\/ 方法调用
<\/span><\/span><\/span><\/span>    execute(<\/span>processedCmd);<\/span>  \/\/ 危险方法
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3. 性能优化<\/h3>

预分析JDK核心方法的污点传播关系，存储在passthrough.dat<\/code>中<\/li>
运行时只分析目标Web应用中的方法，提高检测速度<\/li>
<\/ul>
五、开发扩展指南<\/h2>
1. 添加新的危险方法<\/h3>
在CoreMethodAdapter.visitMethodInsn<\/code>中添加白名单条目：<\/p>
\/\/ 格式：类名 方法名 方法描述符 参数位置
<\/span><\/span><\/span><\/span>"java\/lang\/Runtime"<\/span> "exec"<\/span> "(Ljava\/lang\/String;)Ljava\/lang\/Process;"<\/span> "1"<\/span>
<\/span><\/span><\/code><\/pre>2. 支持新的编码方式<\/h3>

在模拟执行中跟踪相关指令（如BIPUSH<\/code>、LDC<\/code>）<\/li>
在适当位置添加解码逻辑（如new String(byte[])<\/code>或BASE64Decoder.decodeBuffer<\/code>）<\/li>
<\/ol>
六、工具局限性<\/h2>

目前主要检测Runtime\/ProcessBuilder\/ScriptEngine相关Webshell<\/li>
对高度混淆的Webshell可能存在漏报<\/li>
需要依赖项目环境进行JSP编译<\/li>
<\/ol>
七、未来改进方向<\/h2>

增加更多Webshell家族的特征检测（如冰蝎、哥斯拉等）<\/li>
优化字符串操作模拟的准确性<\/li>
支持更多编码和混淆方式的检测<\/li>
<\/ol>
八、参考资源<\/h2>

项目地址：https:\/\/github.com\/flowerwind\/JspFinder<\/li>
ASM官方文档：https:\/\/asm.ow2.io\/<\/li>
GadgetInspector分析：https:\/\/xz.aliyun.com\/t\/7058<\/li>
<\/ol>
通过本工具，安全人员可以快速准确地检测JSP Webshell，特别适合在真实攻防场景中使用。工具的模块化设计也便于扩展新的检测规则和功能。<\/p>