0x01简介 shiro结合tomcat回显,使用公开的方法,回显大多都会报错.因为生成的payload过大,而tomcat在默认情况下,接收的最大http头部大小为8192.如果超过这个大小,则tomcat会返回400错误.而某些版本tomcat可以通过payload修改maxHttpHeaderSize,而某些又不可以.所以我们要想办法解决这个很麻烦,并顺便实现tomcat的内存马,用来持久化shell. 我的测试环境如下: tomcat 7.0.104 idea shiro 环境安装配置就…

1. 反弹Shell的概念本质 所谓的反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端. 本文会先分别讨论: 命令执行(system executor) 网络通信(network api) 这两个基础原子概念,然后在之后的章节中用组合的方式来呈现现在主流的反弹shell技术方式及其原理,用这种横向和纵向拆分的方式来帮助读者朋友更好地理解反弹shell. 2. 网络通信(network api)方式讨论 0…

来源:https://blog.trendmicro.com/trendlabs-security-intelligence/from-fileless-techniques-to-using-steganography-examining-powloads-evolution/ 技术点 Powload是通过垃圾邮件发送的恶意软件,2018年上半年宏观恶意软件的上升是由Powload引起的,利用各种技术提供有效载荷,例如信息窃取Emotet,Bebloh和Ursnif.虽然它使用垃圾邮件作为分发…

无文件落地Agent型内存马植入 可行性分析 使用jsp写入或者代码执行漏洞,如反序列化等,不需要上传agent Java 动态调试技术原理及实践 - 美团技术团队 (meituan.com) 首先,我们先看一下通过Agent动态修改类的流程: 1.在客户端和目标JVM建立IPC连接以后,客户端会封装一个用来加载agent.jar的AttachOperation对象,这个对象里面有三个关键数据:actioName.libName和agentPath: 2.服务端收到AttachOperation…

在项目开发的过程中,一些公司经常是前后台分开的,并不是所有的前端文件都在后台项目中,尤其是互联网公司.这时候就需要后端人员单独运行前端文件.怎么用Tomcat部署运行前端静态文件呢? 工具/原料   Tomcat 方法/步骤     可以把文件直接放到webapps下面.当只是运行一个项目的时候,这种方法还好,但是当你涉及到两个以上项目的时候,就麻烦了.设定虚拟目录的方法,下面详细介绍.   配置虚拟目录也有两种方法,直接介绍我现在用的这种,直接在servler.xml里修改,毕竟经过了实践可用…

目录 0 前言 1 环境 2 commons-beanutils反序列化链 2.1 TemplatesImple调用链 2.2 PriorityQueue调用链 2.3 BeanComparator 3 Shiro无依赖paylaod CaseInsensitiveComparator java.util.Collections$ReverseComparator 4 总结 4.1 shiro反序列化的注意事项 4.2 shiro反序列化利用--注入内存马 0 前言 其实shiro的反序列化过程…

CentOS7之按时间段截取指定的Tomcat日志到指定文件的方法 sed -n '/2016-11-02 15:00:/,/2016-11-02 15:05:/p' catalina.out > /tmp/123/error.txt 将 catalina.out 文件的中的日志信息,按 2016-11-02 15:00 到 2016-11-02 15:05 时间段截取,然后放到 /tmp/123/ 目录下的 error.txt 文件中: 然后我们就可以通过 sz 命令将其下载到本地查看.…

nginx+tomcat+二级域名静态文件分离支持mp4视频播放配置实例 二级域名配置 在/etc/nginx/conf.d/目录下配置二级域名同名的conf文件,路径改成对应的即可 statics.xxxxx.com.conf server { listen ; server_name statics.xxxxx.com ; access_log /var/log/nginx/access_statics.xxxxx.com.log; error_log /var/log/nginx/erro…

eclipse项目自动发布到tomcat目录,缺文件. 解决方案: 项目--Properties-->Deployment Assembly-->Add--> Folder Add-->Maven dependencies 以上配置完毕之后,OK, 大工告成.整个项目的文件就能发布到Tomcat的项目运行目录. 检查上面问题的思路: 1.检查tomcat发布目录是否有项目文件. 2.检查    \WEB-INF\lib\ 文件夹下,是否有jar包. 3.检查     \WEB-IN…

一个PDF文档从大到小可以分成如下几个要素:文档.章节.小节.段落.表格.列表. com.lowagie.text.Document表示PDF文档.必须为它创建一个PDF写入器,即com.lowagie.text.pdf.PdfWriter对象,写入器的作用是将Document对象与目标文件关联起来.调用 Document 的open方法便打开了与目标文件的连接:Document的add 方法用于为文档添加章节  . 2 com.lowagie.text.Chapter表示PDF文档中的章节.它…