首先启动一个tomcat的环境

先把这里的代码跑起来，访问tomcat

在docker中的tomcat/conf中可以看到账号密码


将JSP打包为war包

随后上传就部署好了

大部分的方法其实没什么好看的，重点在下面的判断中

从这里开始才是实际的处理逻辑，往下翻就可以看到一个runtime

那么这里应该如何执行命令呢？一行一行来说

这里需要获取一个参数z0，这里是个三元表达式，如果z0不等于空的话，那么cs的值就是z0这个GET参数的值，如果z0为空的话，它的默认值就是如下

继续回到代码，那么需要设置响应头位text/html，并且将编码设置为要么是UTF-8要么是传进来的编码
随后继续看到下面的处理逻辑

首先需要获取一个参数为pwd的参数，这个pwd代表的值是如下

pwd是110，那么也就意味着这里需要传一个110=xxx的参数，继续往下看

也可以看到z1和z2分别两个参数，那么其实现在把视角放大一些，可以发现，Pwd（也就是110这个参数）其实是决定了我们会用什么方法的

既然这样，目前大部分到这里已经梳理的差不多了，首先我们知道需要传的参数如下
1、z0 表示编码
2、110 表示处理逻辑
3、z1 z2分别为不同处理逻辑
那么如何构造参数进行执行命令呢？

z0设置为UTF-8随后传入110=M也就代表我们使用执行命令的模块，随后z1和z2是干什么的呢？往下看一下

自己写一个demo就可以看出来，首先z1就是我们需要执行的shell，z2就是我们要执行的命令，具体格式如下

但是我们没办法直接这样构造请求去执行命令

为什么呢？因为在代码中的substring方法会从第二个字符开始，那么也就是我们需要构造一个payload去让他从第2个字符开始取，然后可以拼成下面的命令

先说采坑的思路
既然他这里会从第二个字符开始取，那么我直接在前面加两个字符让他跳过不就行了？
例如下面这样

但是会发现其实是不行的，为什么呢？注意看代码中的第二个取值

这里的z1.substring(0, 2)取的就是被我们去掉的//，那么此时的命令就会变成如下

所以就会报错，哪怕放在linux终端运行也是一样

找执行命令的过程就不再多说，大致的思路就是这样，那么直接说如何执行命令

为什么这样可以？很好理解，首先第一个z1.substring(2)取值的时候会自动去掉-c，第二个z1.substring(0, 2)取值的时候会取到-c，那么拼出来就是这样

所以就可以执行任意的命令
另外一些例如，任意文件读取等等等模块就不再赘述了

例如任意文件读取

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)