Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Webshell 簡單應用

2,069 views

Published on

  • Be the first to comment

Webshell 簡單應用

  1. 1.  Struts2的核心是使用的webwork框架,處理action時通 過調用底層的getter/setter方法​​來處理http的參數,它將 每個http參數聲明為一個ONGL語句。當我們提交一個 http參數, ONGL將它通過ParametersInterceptor(參 數過濾器)來執行的,使用用戶提供的HTTP參數調用 ValueStack.setValue()。為了防範篡改服務器端對象, XWork的ParametersInterceptor不允許參數名中出現 “#”字符,但如果使用了Java的unicode字符串表示 u0023,攻擊者就可以繞過保護,修改保護Java方式執 行的值。
  2. 2.  allinurl : index.action site : gov.cn allinurl : view.action allinurl : login.action …
  3. 3.  建立監聽/反向Shell
  4. 4.  上傳script
  5. 5.  糟糕…..我沒有外網ip….
  6. 6. Codepad.org 沒關係! 是我們的好碰友~

×