JNDI: RMI:远程方法调用注册表
LDAP:轻量级目录访问协议
一、java五大组件
- shiro–数据包中cookie中有rememberme
- fastjson–反序列化方法–JSON.parseObject()、JSON.parse()
- log4j–Logger.error()、Logger.info()
- jackson
- xstream(把对象序列化成xml格式的数据)
二、Log4j-JNDI注入工具——Yakit
此工具在one fox中有
三、shiro反序列化漏洞利用工具
在one fox中有
- 输入漏洞存在的url
- 爆破密钥
- 检测当前利用链
- 即可RCE。
四、fastjson不出网/不回显怎么办
- 通过dnslog进行数据外带,但如果无法执行dns请求就无法验证了。
- 直接将执行结果写入到静态资源文件中,如html、js等,然后访问。(需要能写文件,执行写文件的命令)
- 直接将命令执行结果回显到请求poc的HTTP响应中。
- BECL攻击,命令执行/内存马
- SpringEcho回显
- Tomcat回显
- abitis回显
