前言

Java服务端

Godzilla Payload

 /* 属性 */
PageContext pageContext;
HashMap praameterMap = new HashMap<Object, Object>();
 /* 方法 */
Class g(byte[] b) ：类加载
String get(String key)：获取prameterMap某个键的值
byte[] getByteArray(String key)：获取praameterMap某个键的值

// Shell相关
byte[] run() ：核心方法，根据parameterMap中获取的evalClassName和methodName调用方法
void formatParameter()：{"ILikeYou":"bWV0b28="} prameterMap，又将praameterMap放入request的parameters属性
boolean equals(Object obj)：判断对象是否为PageContext类型
String toString()：调用run方法，并清空request的parameters属性
byte[] test()：返回"ok"的字节码，shell初次链接时确认key和密码使用
void noLog(PageContext pc)：清空日志
handle():

// 文件管理
getFile()、listFileRoot()、readFile()、uploadFile()、newFile()、newDir()、deleteFile() 、moveFile() 、copyFile() 、deleteFiles(File f) 

// 命令执行
byte[] execCommand()

// 基础信息
byte[] getBasicsInfo()
byte[] include() 
Map<String, String> getEnv()
String getDocBase()
String getRealPath()

// 数据库管理
byte[] execSql()

// 反射
Object invoke(Object obj, String methodName, Object... parameters) 
Method getMethodByClass(Class cs, String methodName, Class... parameters) 
static Object getFieldValue(Object obj, String fieldName) 

// Base64操作
String base64Encode(String data)
String base64Encode(byte[] src)
byte[] base64Decode(String base64Str) 

结果输出

f.equals(arrOut);

参数获取

f.equals(pageContext);

ByteArrayOutputStream -> this.outputStream
HttpServletRequest | ServletRequest -> this.servletRequest
[B (byte[].class) -> this.requestData
HttpSession -> this.httpSession

代码执行

f.toString();

formatParameter();//获取服务端接受的参数（方法名）

流程总结

f.equals(arrOut):获取输入对象待用
f.equals(pageContext):获取所有参数
f.toString():执行代码