最近发现java的站和漏洞日益增加。对jsp的webshell的需求越来越多。
不论是为了接下来的攻防演练还是平时的工作需求,都要去研究一下。
主要针对是最常见的就是Godzilla和Behinder。
虽然对java不是很会。但是我们是为了最后的结果。
并不需要自己从0到1一点一点的写,只要会改就行了。
最后看到的了czz1233/tas9er两位师傅的工具满足需求。
然后就魔改了一下。
1
小问题
逃不过,只要公布出来就一定会被杀的定律。
1.发现原生的冰蝎马已经被D盾告警。
2.一句话版本发现只有windows版本,(没看代码前,我mac一直无法执行~~)
3.个人感觉密钥有点简单嘿嘿。
2
修改
增加的内容:
-
解决Behider马被D盾警告,完美过D盾。
-
增加了一句话Linux版本。
-
增加了apache tomcat的404页面--(不知道为啥mac中文乱码,已解决)。
4. 增加了命令行颜色输出,小小美观一下(谁不喜欢好看)
5. 修改Godzilla盾的默认密钥。(以前连过别的攻击队的,嘿嘿)
2
过D盾
2
Linux版本一句话
在mac上进行测试。
3
404页面
增加了apachen tomcat 404的报错页面。
这里html的中文在mac一直乱码。windows没问题。
未进行实战测试。可能存在页面中文乱码问题。
ps:会增加英文版和别的404页面。
4
连接测试
Godzilla
Behinder
Linux版本一句话
5
命令行界面
mac
Windows-cmder
强烈建议用mac/linux/cmder类似命令行。不然会爆炸.如下图~
感谢原作者czz1233/tas9er,我只是搬运工。
>精彩回顾<
Cobalt Strike免杀脚本生成器|cna脚本|bypassAV
xss bypass备忘单|xss绕过防火墙技巧|xss绕过WAF的方法
【贼详细 | 附PoC工具】Apache HTTPd最新RCE漏洞复现
关注我
获得更多精彩
坚持学习与分享!走过路过点个"在看",不会错过
仅用于学习交流,不得用于非法用途
如侵权请私聊公众号删文
原文始发于微信公众号(EchoSec):【分享 | 免杀】Bypass-JSPWebshell自动生成工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论