渗透jsp网站遇到防火墙后突破方法

有个网站, 有上传点, 任意后缀。

然后我兴冲冲的上传了一个常见的jsp不带密码大马。

可是, 我去访问一下地址的时候, 就发现, 坑了, 浏览器显示未收到数据

挂代理后正常打开首页,说明我的ip已经被封。

这个够狠啊, 后来发现adduser之类都成了敏感特征, 见则封ip。

所以我现在需要一个免杀jsp马。

我得到了一个执行cmd的,历经挫折终于传上去, 能运行。

我已经成功一大半了, oh, 可是只能受限制的执行部分命令, 加个root用户都不能。

考虑符号url编码再执行可能有误,于是传文件上去看看执行文件行不。

结果文件的确传上去了, 可直接perl 7.txt没有反应。

难道防火墙又有神通了, 我定心一想可能文件相对路径错了。

我用ls,没有看到我传的文件。

我用ls /路径,没反应,太过分了。

pwd的路径确定非文件所在路径。jsp有语句可以获得当前路径可我用不出。

在我试了试可能的一个路径(我也不确定最后一个文件夹名是否会自定义),不确定能不能用。

结果敲下回车的一瞬间,o了,一个shell反弹回来了。

总结:要注意绝对路径,相对路径常不太符合想象。

时间: 2024-07-30 23:43:54

渗透jsp网站遇到防火墙后突破方法的相关文章

防火墙后公网地址FTP服务问题解决方法之一

因为需要FTP公网进行访问,遂在公司搭建FTP服务使用软件,免费开源的Fillzilla Server版本,当然这不是主要的添加用户密码,用户访问目录,更改21端口为21212 出现棘手问题,因为公司使用cisco路由器公网接入,默认所有公网端口是不打开状态.做端口映射ip nat inside source static tcp 192.168.1.4 21212 公网地址 21212 extendale telnet 公网地址 21212 结果端口是通的 使用fillzilla配置好之后进行

【经验分享】渗透指定网站的思路

转载:http://tieba.baidu.com/p/4296562184 首先说明我也是菜鸟,只不过花了不少时间在渗透上.下面我把自己会的和大家分享一下.不涉及提权和旁站.只单纯的讲指定站的渗透思路.单丝不成线,独木不成林.哪里讲的不好,请大家指出来,共同进步 [前戏]信息探测:主要是网站的脚本语言.数据库.搭建平台.操作系统.服务器IP.注册人信息.网站防护情况. 简单说一下这些信息的获取方式:1.[目标站的脚本语言识别]1-1 最简单的方法,在域名后面分别加个/index.asp /in

JSP网站开发基础总结《一》

经过JAVASE的学习相信大家对JAVA已经不再陌生,那么JAVA都可以干什么呢?做算法.应用程序.网站开发都可以,从今天开始为大家奉上JAVAEE之JSP动态网站开发基础总结. 既然是动态网站开发,那它与传统的静态网站有什么区别呢?动态两字体现在什么地方?何为动态网站呢?相信学过HTML的小伙伴都知道,HTML是一个非常强大的网站开发语言,在没有出现动态网站开发语言之前,它被奉为网站开发利器,不过对于HTML网站开发存在一个问题,就是网站没办法实时更新,网站一旦开发完成不论经过多长时间,网站上

jsp网站服务器配置

Jsp网站部署环境配置 首先解释一下,.jsp网站与.html网站有着很大的不同,html是一种静态网站开发脚本语言,jsp则是在html的基础上专门为开发动态网站设计的语言.所以jsp网站没办法直接打开,必须借助服务器. 接下来就是相关环境的配置方法: 1.jdk的安装: jdk:在文件夹中已经下载过了,直接点击安装就可以了.默认情况下安装在:C:\Program Files (x86)\Java 2.jdk环境配置: jdk安装好后,点击我的电脑>>>右键单击,选择属性>>

vsftp服务器上开启防火墙后发现ftp连接不上

vsftp服务器上开启防火墙后发现ftp连接不上提示:错误: 连接超时 错误: 读取目录列表失败 状态: 正在连接 192.168.10.28:1070...状态: 连接建立,等待欢迎消息...状态: 不安全的服务器,不支持 FTP over TLS.状态: 已登录状态: 读取目录列表...命令: PWD响应: 257 "/"命令: TYPE I响应: 200 Switching to Binary mode.命令: PASV响应: 227 Entering Passive Mode

JSP 的内置对象及方法,动作和作用,常用指令

JSP 的内置对象及方法:JSP 共有以下9 种基本内置组件:request:用户端请求,此请求会包含来自GET/POST 请求的参数:response:网页传回用户端的回应:pageContext:网页的属性是在这里管理:session:与请求有关的会话期,可以存贮用户的状态信息:application:servlet 正在执行的内容:out:用来传送回应的输出:config:servlet 的构架部件,用于存取servlet 实例的初始化参数:page:JSP 网页本身:exception:

对于大流量的网站,您采用什么样的方法来解决访问量问题?

当一个网站发展为知名网站的时候(如新浪,腾讯,网易,雅虎),网站的访问量通常都会非常大,如果使用虚拟主机的话,网站就会因为访问量过大而引起 服务器性能问题,这是很多人的烦恼,有人使用取消RSS等错误的方法来解决问题,显然是下错药,那么对于大流量的网站,需要采用什么样的方法来解决访问量 问题? 解决方法参考如下: 首先,确认服务器硬件是否足够支持当前的流量. 普通的P4服务器一般最多能支持每天10万独立IP,如果访问量比这个还要大,那么必须首先配置一台更高性能的专用服务器才能解决问题,否则怎么优化

维护的JSP网站数据丢失

两个月前换了份工作,然后接手了三台服务器.上面乱七八糟的站点和应用大把.其中有维护一个瀚石苑:http://www.hanshiyuan.com/,三天两头的丢失数据.都不知道怎么找回,好在数据有备份,直接用备份还原了.还原了还是三天两头的丢失数据,想这不是办法啊.因为本人不懂JSP,所以只能从外围去防护.通过nginx的设置把站点的配置文件隐藏(JSP的配置文件居然是xml,而且是明码,啥都可以看到,实在太恐怖了),然后把网站的数据库用户的'%'改为localhost,以为这下应该高枕无忧了,

关于博客园和CSDN的问题以及jsp网站上传的心酸之路

1.以鄙人之见,妄加评论两大博客,目前小白尚未发掘二者大不同(对我有影响的方面)纠结于博客园的个人定义模板和二级域名,再就是CSDN的外观设计和先入为主.遂查询了下 得到前辈的网页http://blog.csdn.net/long892230/article/details/7939814,读不太懂,自己一步一步来感受(心中明白这都是外在,但就是放不下,看不开),见招拆招        吧! 2.关于jsp网站上传(该网站涉及到mysql,apache-tomcat,eclipse) 首先找到可