JNDI-Injection-Exploit工具比marshalsec要好用的多,相当于把http服务器和协议服务器放在了一起
github地址
https://github.com/welk1n/JNDI-Injection-Exploit.git
可以下载其release下的安装包

$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

其中:

-C - 远程class文件中要执行的命令。

(可选项 , 默认命令是mac下打开计算器,即"open /Applications/Calculator.app")

-A - 服务器地址,可以是IP地址或者域名。

(可选项 , 默认地址是第一个网卡地址)

注意:

要确保 1099、1389、8180端口可用,不被其他程序占用。

或者你也可以在run.ServerStart类26~28行更改默认端口。

命令会被作为参数传入Runtime.getRuntime().exec(),

所以需要确保命令传入exec()方法可执行。

bash等可在shell直接执行的相关命令需要加双引号,比如说 java -jar JNDI.jar -C “bash -c …”

JNDI-Injection-Exploit相关推荐

  1. 飞飞影视php 漏洞,飞飞影视SQL injection exploit[转]

    /** * 飞飞影视管理系统 SQL injection * 飞飞影视系统PHP版 v1.9 injection exploit * by:www.08sec.com fans * keyword & ...

  2. 飞飞php影视系统漏洞,飞飞影视系统PHP版 v1.9 injection exploit漏洞预警 -电脑资料...

    文章作者:honglousy 昨天整的 论坛旁站上的程序,发现用的人还真不少, 简单的写了个exp.无聊之作... /** *  飞飞影视管理系统 SQL injection *  飞飞影视系统PHP ...

  3. 开源漏洞深度分析|CVE-2022-25167 JNDI命令执行漏洞

    项目介绍 Flume 是一种分布式.可靠且可用的服务,用于高效收集.聚合和移动大量日志数据.它具有基于流数据流的简单灵活的架构.它具有可调整的可靠性机制以及许多故障转移和恢复机制,具有健壮性和容错性. ...

  4. java安全(四) JNDI

    给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 1.JNDI JNDI(Java Naming and Directory Interface) ...

  5. Find-Sec-Bugs 漏洞范例

    第一章 Find-sec-bugs简介 插件介绍: Find-Sec-Bugs 是一款本地 bug 扫描插件 "FindBugs-IDEA" 的 Java 安全漏洞规则扩展库,它支 ...

  6. vulfocus复现:log4j2-rce-2021-12-09

    文章目录 一.漏洞影响 二.复现过程 一.漏洞影响 Apache Log4j 是一个基于Java的日志记录工具.经过多年的开发迭代,Log4j 1.x的维护已经变得非常困难,因为它需要与非常旧的 Ja ...

  7. WEB应用常见15种安全漏洞一览

    摘要: 安全第一! 原文:web 应用常见安全漏洞一览 作者:深予之 (@senntyou) Fundebug遵循创意共享3.0许可证转载,版权归原作者所有. 1. SQL 注入 SQL 注入就是通过 ...

  8. web 应用常见安全漏洞一览

    1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令. SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化. 原因 当使用外部不可 ...

  9. 虚拟专题:知识图谱 | 基于网络防御知识图谱的0day攻击路径预测方法

    来源:网络与信息安全学报 基于网络防御知识图谱的0day攻击路径预测方法 孙澄, 胡浩, 杨英杰, 张红旗 信息工程大学 摘要:针对 0day 漏洞未知性造成的攻击检测难问题,提出了一种基于知识图谱的 ...

  10. 『VulnHub系列』Hacker Fest: 2019-Walkthrough

    靶机地址 难度:初级+1 靶机描述: The machine was part of my workshop for Hacker Fest 2019 at Prague. Difficulty le ...

最新文章

  1. Python游戏开发pygame模块,Python实现吃豆人,儿时的回忆
  2. 重磅!首次发现人类大脑海马体在短时间尺度上对时间信息敏感
  3. PHP用户输入安全过滤和注入攻击检测
  4. 用verilog表示两个4x4矩阵的乘法运算?及单个矩阵的求逆
  5. 实证会计理论与因果推断13 线性模型概述
  6. 树莓派4b ros镜像 网盘_树莓派4B的入手操作
  7. 解决:ClassNotFoundException: com.netflix.hystrix.contrib.javanica.aop.aspectj.HystrixCommandAspect
  8. Elasticsearch性能监控(二)
  9. MySQL可以用localhost 连接,但不能用IP连接的问题
  10. error Microsoft Visual C++ 14.0 is required 解决方案
  11. 剑指offer二:替换空格
  12. 矩阵运算_Sophus库的使用
  13. HADOOP学习_grep和wordcount的例子
  14. springMVC 面试题整理
  15. 如何使用git 生成密钥?
  16. 稀疏表达(稀疏编码)的一些理解
  17. 我的10G OCP 考证历程
  18. JDK8新特性-Map遍历比较
  19. 【转载】谢启鸿老师访谈录之二(12级,撰稿人:陈筠臻)
  20. windows 32位程序编译成64位

热门文章

  1. 关于前n个自然数的平方和公式的证明方法
  2. nyoj21 三个水杯
  3. Linux学习之文件系统 ZFS - 文件系统简介
  4. 去ioe mysql_去IOE过程中MySQL的业务背景
  5. 拉齐献歌“祖国,为你骄傲”大型晚会
  6. 目标追踪篇---yolov8_tracking复现
  7. html radio的onclick事件设置
  8. css常用选择器及用法
  9. 悠视网融资2000万美元 中国YouTube遍地开花
  10. 初接触Directdraw