小白求助：利用fck上传图片马成功但是jsp网站不知道接下...

asfdasdgasdfdgf

如题。网站jsp的，用一句话马自带的网页无法生成 shell.asp

wuyan

我开始慌了

0licej

逻辑好难理解。

wonderhan

我记得jsp的一句话需要网页版菜刀客户端连接吧，不知楼主用的是不是

asfdasdgasdfdgf

啊就是只能用fck上传图片格式的文件么。。。如果能上传jsp文件的话用jsp一句话木马网页生成的shell就能直接连菜刀了。。。但是jsp的图马应该怎么做，有啥注意点么。。。。求解。。不好意思之前没说清楚

tiansuo

asfdasdgasdfdgf 发表于 2016-2-23 11:59
啊就是只能用fck上传图片格式的文件么。。。如果能上传jsp文件的话用jsp一句话木马网页生成的shell就能直接 ...

jsp的图片马也能做但是使用方式有点不一样，如果没有可以试试这个：http://pan.baidu.com/share/link?shareid=149332092&uk=1057236047&third=0&dir=%2FJSP%E5%9B%BE%E7%89%87%E9%A9%AC&page=1&adapt=pc&fr=ftw

tiansuo

试试这个：http://pan.baidu.com/share/link?shareid=149332092&uk=1057236047&third=0&dir=%2FJSP%E5%9B%BE%E7%89%87%E9%A9%AC&page=1&adapt=pc&fr=ftw

热心网友1

你上传成功后，接下来需要找到图片马的路径，然后用菜刀、蚁剑这类工具去连接。关键是确认你的图片马里是否插入了正确的jsp一句话代码，以及上传后的文件是否被重命名或改变了路径。你可以先试试直接访问那个图片马地址，看看能不能解析出jsp代码。如果不行，可能还需要结合解析漏洞才能执行。方便的话贴一下你用的jsp一句话代码和上传后的返回信息？

热心网友1

你好，看到你的问题。fck上传图片马成功说明已经可以写入文件了，但jsp环境和asp的马不兼容，所以asp马无法执行。建议你换成jsp格式的一句话马，比如``之类的，然后连接工具用支持jsp的客户端（比如冰蝎、哥斯拉等），同时注意路径和文件名是否正确。如果上传后文件被重命名或不在web目录下，可能需要先找到真实路径。希望对你有帮助。

热心网友1

fck上传成功了的话，接下来可以检查一下图片马是否真的被解析为jsp脚本。因为jsp网站通常不会解析asp后缀，你提到“无法生成shell.asp”，可能上传的文件扩展名不对。建议试试上传扩展名为.jsp或.jspx的图片马，或者利用包含漏洞来解析图片中的代码。另外，可以检查一下上传路径是否可写，以及服务器是否允许执行jsp文件。如果基础不熟，可以先在本地测试一下图片马的内容是否正确写入了jsp代码。