JNDI 注入利用工具
介绍
本项目为 JNDI 注入利用工具,生成 JNDI 连接并启动后端相关服务,可用于 Fastjson、Jackson 等相关漏洞的验证。
本项目是基于 welk1n 的 JNDI-Injection-Exploit ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。
本项目为学习性项目,目前本人 Java 水平依然处于 hello world 的水平,建议各位师傅报着批判的眼光观看,不吝指导。QAQ
功能
本 工具 支持了利用 JNDI 注入构造多种恶意 payload,其中包括:
名称
功能
简介
BasicInfo
获取 服务器 基础信息
打印出 System.getProperties() 中的信息
Command
命令执行
反射调用 forkandexec 执行命令
DataSourceHack
获取Spring DataSource 明文
获取缓存在上下文中的 DataSource
DirList
目录遍历
使用 File 对象列目录
FileDelete
文件删除
使用 File 对象删除文件
FileRead
文件读取
使用 FileInputStream 读取文件
FileWrite
文件写入
使用 FileOutputStream 写文件
SQL Query
执行SQL语句