服务器被上传jsp木马

最新推荐文章于 2022-10-29 20:42:49 发布
最新推荐文章于 2022-10-29 20:42:49 发布
阅读量1.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013894638/article/details/52316658
版权

有个老项目最近安全监测比较严,又双叒叕接到经理的任务,说某项目的图片文件夹里多了两个木马,让找下原因和更改办法。

吧木马代码复制一段放到百度搜一下,大多指向strut2漏洞,但查看了项目jar包都已经改成2.3.15.1了应该不存在漏洞问题,

然后在360网站进行认领监测得了98分,没有检测出漏洞问题(此刻对360的能力失去了信心难过),然后就找漏洞工具测啊测,

也没测出个因为所以。最后查看木马创建日期是7月4日,再在操作日志里查询7月4日的用户操作记录,发现有个叫test的用户创建了,

在上传资料事传了两个jsp文件(那时网站没有进行安全改造,文件不验证格式),这下知道了原来没用工具和漏洞直接传的木马,

也不知道原来网站是谁做的给我挖了这么大一个坑。 

最后删除木马文件,上传文件时验证是否有图片的长和宽(防止木马改后缀名)。

三分热狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSP+Servlet实现文件上传服务器功能
01-08
本文实例为大家分享了JSP+Servlet实现文件上传服务器功能的具体代码,供大家参考,具体内容如下 项目目录结构大致如下: 正如我在上图红线画的三个东西:Dao、service、servlet 这三层是主要的结构,类似 MVC ...
Java轻量级MVC框架Struts2 2.5详解(6)struts2文件上传和下载
葡萄藤的博客
02-25 2798
一、Struts2中简单的文件上传 1):表单必须使用POST方式提交; 2):使用二进制编码:enctype="multipart/form-data"; 3):<input type="file" name=""/>; 4):通过struts2标签生成表单 5):Action中通过Set()方法获得表单中的数据 6):将通过网络获...
【渗透测试】Struts2系列漏洞
weixin_53972936的博客
10-29 6560
Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://baike.baidu.com/item/Java EE) Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品
Struts2.5文件上传和下载详解(一)
Blank_Space
08-15 2380
今天了解了文件的上传与下载,遇到了很多的问题,解决了一天终于也算是懂了一些。现在来分享一下。文件的上传1、要实现Struts2.5的文件上传功能,必须包含两个jar文件:commons-io-2.4.jar和commons-fileupload-1.3.3.jar2、在jsp文件的表单中,表单的method设置为:POST,enctype设置为multipart/form-data(此时浏览器采用二
Struts2.5文件上传和下载详解(二)
Blank_Space
08-15 2145
文件下载2333~~(╯﹏╰),下载问题有好多,网上给出的方法也层次不穷,比较凌乱,参考了一下其他博主的一些资料,来写一篇比较完整的关于Struts2的文件下载。Struts2控制文件的下载,是通过stream结果类型,该结果类型将使用文件下载作为响应。stream结果类型需要在struts.xml中进行配置,它需要指定4个属性 contentType:指定被下载文件的类型。若给出详细的类型,如
struts2.5.20上传及下载文件
Blank
09-14 513
struts2.5.20上传及下载文件
Sturs2java给jsp传值_Struts2.5 利用Ajax将json数据传值到JSP的实例
weixin_29218963的博客
02-28 117
AJAX +JSON=》JSPAJAXAJAX 是一种在无需重新加载整个网页的情况下,能够更新部分网页的技术。通过在后台与服务器进行少量数据交换,AJAX 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。传统的网页(不使用 AJAX)如果需要更新内容,必须重载整个网页页面。JSONJSON(JavaScript Object Notation, JS 对象...
struts2.5 ajax标签库,Struts2.5 利用Ajax将json数据传值到JSP的实例,struts2.5json分享
weixin_29016833的博客
08-05 140
AJAXAJAX 是一种在无需重新加载整个网页的情况下,能够更新部分网页的技术。通过在后台与传统的网页(不使用 AJAX)如果需要更新内容,必须重载整个网页页面。JSONJSON(JavaScript Object Notation, JS 对象标记) 是一种轻量级的数据交换格式。它基于 E利用Ajax将json数据传值到JSP第一步:在你的Action中创建一个json数据public clas...
Struts2工程下用jsp接收文件上传问题
笔记,轨迹
04-25 827
Struts2工程下用jsp接收文件上传,使用parseRequest方法一直得不到FileItem。 经检查原来是web.xml中配置了:       struts2   *.jsp     使所有jsp文件都经过了struts2的过滤,重新封装了request。   去掉上面的配置即可使用!
jsp一句话木马_图片木马解析
weixin_39965881的博客
11-21 4322
PHP图片木马 实现运行环境介绍本测试主要针对的是 IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞Nginx解析漏洞这个伟大的漏洞是我国安全组织80sec发现的 在默认Fast-CGI开启状况下,黑阔上传一个名字为wooyun.jpg,内容为...
文件上传 webshell 各类型 一句话木马 图片马 制作 教程
weixin_44286136的博客
06-05 8737
webshell webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。 小马:一句话木马也称为小马,即整个shell代码量只有一行,一般时系统执行函数 大马:代码量和功能比小马多,一般会进入二次编码加密,防止被防火墙/入侵系统检测到 图片马:
JSP下载服务器文件的方法
01-08
本文实例讲述了JSP下载服务器文件的方法。分享给大家供大家参考,具体如下: <%@page import=java.io.FileInputStream%> <!DOCTYPE ...
JSP 文件上传
01-20
JSP 可以与 HTML form 标签一起使用,来允许用户上传文件到服务器上传的文件可以是文本文件或图像文件或任何文档。 本章节我们使用 Servlet 来处理文件上传,使用到的文件有: upload.jsp : 文件上传表单。 ...
JSP 服务器响应
01-08
JSP 服务器响应 Response响应对象主要将JSP容器处理后的结果传回到客户端。可以通过response变量设置HTTP的状态和向客户端发送数据,如Cookie、HTTP文件头信息等。 一个典型的响应看起来就像下面这样: ...
多图表实现员工满意度调查数据分析python
04-22
员工满意度是指员工对于工作环境、待遇、职业发展和组织管理等方面的满意程度。它是衡量员工对工作的整体感受和情绪状态的重要指标。
2020届软件工程本科毕业生毕业设计项目.zip
04-22
2020届软件工程本科毕业生毕业设计项目
基于stm32平衡小车
04-22
平衡小车 基于stm32 平衡小车 基于stm32 平衡小车 基于stm32
c语言火车票订票管理源码.rar
04-22
c语言火车票订票管理源码.rar
施耐德PLC例程源码四台水泵的轮换
最新发布
04-22
施耐德PLC例程源码四台水泵的轮换提取方式是百度网盘分享地址
jsp上传文件到服务器
12-01
JSP上传文件到服务器主要分为以下几个步骤。首先,需要在JSP页面中创建一个包含文件上传表单的页面,通常使用HTML的form标签和input标签来实现。其次,需要在JSP页面中编写相应的Java代码,处理文件上传的逻辑。这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值