JSPWebShel​​l集合
2022-8-26 00:1:50 Author: 橘猫学安全(查看原文) 阅读量:34 收藏

JSP WebShell集合

JSP-WebShells集合BCEL字节码的JSP WebShell自定义类加载器的JSP WebShellScriptEngine.eval的JSP WebShellURLClassLoader加载远程jar的JSP WebShelljavac动态编译classJSP WebShelljdk.nashorn.internal.runtime.ScriptLoader类加载器加载的JSP WebShelljava.lang.ProcessImpl JSP WebShelljava.lang.ProcessBuilder WebShellMethodAccessor.invoke绕过检测Method.invoke的JSP WebShellSPI机制的ScriptEngineManager自动加载实例化JSP WebShell利用TemplatesImpl触发的JSP WebShell重写ObjectInputStream.resolveClass实现反序列化readObject触发的JSP WebShellJdbcRowSetImpl进行jndi注入的JSP WebShellTomcat EL的JSP WebShellBCEL类加载器进行一定包装-可能在某些禁了loadClass方法的地方bypass的JSP WebShellVersionHelper包装的URLClassLoader类加载器的JSP WebShellRuntime.exec的JSP WebShell利用TemplatesImpl反序列化的JSP WebShell精简一句话ScriptEngine.eval的JSP WebShell反射调用 Proxy native 方法 defineClass0 加载类字节码 WebShell使用JDK自带的ASM框架构造字节码并加载 WebShell利用jsp标签属性注入解析后代码的JSP WebShell分类一、命令执行/反射调用java.lang.ProcessImpl JSP WebShell: 7.jspjava.lang.ProcessBuilder WebShell: 8.jspRuntime.exec的JSP WebShell: 17.jspMethodAccessor.invoke绕过检测Method.invoke的JSP WebShell: 9.jsp利用随机数运行时可知字符串绕过检测的Runtime.exec的JSP WebShell: 17_2.jsp二、脚本执行ScriptEngine.eval的JSP WebShell: 3.jspTomcat EL的JSP WebShell: 14.jsp精简一句话ScriptEngine.eval的JSP WebShell: 19.jsp/19_2.jsp三、字节码、反序列化相关BCEL字节码的JSP WebShell: 1.jsp自定义类加载器的JSP WebShell: 2.jspURLClassLoader加载远程jar的JSP WebShell: 4.jspjdk.nashorn.internal.runtime.ScriptLoader类加载器加载的JSP WebShell: 6.jspSPI机制的ScriptEngineManager自动加载实例化JSP WebShell: 10.jsp利用TemplatesImpl触发的JSP WebShell: 11.jsp重写ObjectInputStream.resolveClass实现反序列化readObject触发的JSP WebShell: 12.jspJdbcRowSetImpl进行jndi注入的JSP WebShell: 13.jspBCEL类加载器进行一定包装-可能在某些禁了loadClass方法的地方bypass的JSP WebShell: 15.jspVersionHelper包装的URLClassLoader类加载器的JSP WebShell: 16.jsp利用TemplatesImpl反序列化的JSP WebShell: 18.jsp利用 Proxy native 方法 defineClass0 加载类字节码 WebShell: 20.jsp四、动态编译javac动态编译classJSP WebShell: 5.jsp五、标签注入利用jsp标签属性注入解析后代码的JSP WebShell: 22.jsp

0x02 JSPWebShell获取

https://github.com/threedr3am/JSP-WebShells

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell

「 超详细 | 分享 」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具|无状态子域名爆破工具(1秒扫160万个子域)

查看更多精彩内容,还请关注橘猫学安全:

每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247497578&idx=1&sn=4a5ef50270dcf38722a79184d6b8ade6&chksm=c04d7054f73af94209274bfb9023b65f8d91bdf3c6bb7b7ff8c47bca23cd7993646597ffac03#rd
如有侵权请联系:admin#unsafe.sh