JNDI-Injection-Exploit-Plus 下载与安装教程

最新推荐文章于 2025-04-16 09:49:22 发布
最新推荐文章于 2025-04-16 09:49:22 发布
阅读量464 收藏 10
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_01262/article/details/143049594
版权

JNDI-Injection-Exploit-Plus 下载与安装教程

JNDI-Injection-Exploit-Plus 80+ Gadgets(30 More than ysoserial). JNDI-Injection-Exploit-Plus is a tool for generating workable JNDI links and provide background services by starting RMI server,LDAP server and HTTP server. JNDI-Injection-Exploit-Plus 项目地址: https://gitcode.com/gh_mirrors/jn/JNDI-Injection-Exploit-Plus

项目介绍

JNDI-Injection-Exploit-Plus 是一个强大的工具,专为生成有效的JNDI(Java命名和目录接口)链接而设计,并提供通过启动RMI服务器、LDAP服务器以及HTTP服务器来支持的后台服务。相较于ysoserial,它提供了更多的Gadgets(超过80个,比ysoserial多出约30个),使得安全研究人员和开发者能够更有效地测试应用程序中的JNDI注入漏洞。这个加强版不仅包含远程引用 gadges,还支持多种JDK版本,并集成了多种序列化库的利用payload,极大地丰富了测试场景。

项目下载位置

您可以通过访问以下GitHub仓库地址来获取项目:

https://github.com/cckuailong/JNDI-Injection-Exploit-Plus.git

推荐使用Git命令行工具或GitHub Desktop进行克隆操作,也可以直接下载ZIP文件。

项目安装环境配置

必要环境

  • Java环境: 确保您的系统上已经安装了Java Development Kit (JDK),最低支持版本是JDK 6,但建议使用较新版本以获得最佳兼容性和性能。
  • Git客户端: 用于从GitHub克隆项目源码。
图片示例(注意:实际环境中操作)

由于文本限制,无法直接展示图片,但在终端执行以下步骤时,您可以参照这些说明:

  • 打开命令行工具。
  • 输入 git clone https://github.com/cckuailong/JNDI-Injection-Exploit-Plus.git 并回车。
  • 克隆完成后,你会看到一个新的本地目录 JNDI-Injection-Exploit-Plus

项目安装方式

  1. 克隆仓库

    git clone https://github.com/cckuailong/JNDI-Injection-Exploit-Plus.git

  2. 构建项目:进入项目目录并使用Maven构建,确保已安装Maven。

    cd JNDI-Injection-Exploit-Plus
mvn clean install

  3. 运行项目:构建成功后,你可以通过Java运行主类来启动工具,具体命令可能因项目结构变化而需要查阅最新README文件,通常格式如下:

    java -jar target/JNDI-Injection-Exploit-Plus-{version}-jar-with-dependencies.jar [参数]

请注意,命令中的{version}应替换为实际构建版本号。

项目处理脚本示例

虽然项目本身提供了命令行界面,但这里简要展示一个基本的使用案例,假设我们要生成一个利用payload:

java -jar target/JNDI-Injection-Exploit-Plus-{version}-jar-with-dependencies.jar -D Jdk7u21 -C "你要执行的命令"

这里的 -D Jdk7u21 指定了使用的gadget基于JDK 7更新21的漏洞,-C 参数后面跟随的是要通过JNDI注入执行的命令。

重要提示:使用此工具时,请严格遵守法律与道德规范,在授权的环境下进行安全测试,避免非法入侵他人系统。

以上就是JNDI-Injection-Exploit-Plus的基本下载与安装指南,确保在合法合规的场景下探索和学习该工具的潜力。

JNDI-Injection-Exploit-Plus 80+ Gadgets(30 More than ysoserial). JNDI-Injection-Exploit-Plus is a tool for generating workable JNDI links and provide background services by starting RMI server,LDAP server and HTTP server. JNDI-Injection-Exploit-Plus 项目地址: https://gitcode.com/gh_mirrors/jn/JNDI-Injection-Exploit-Plus

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Fastjson反序列化漏洞原理及漏洞复现
weixin_46263525的博客
04-04 1954
Fastjson反序列化漏洞原理及反弹shell利用
小白可用 | 若依最新后台RCE漏洞利用工具
jijisaq的博客
03-13 3000
0x01 前言若依最新后台定时任务SQL注入可导致RCE漏洞的一键利用工具, 扫描和漏洞利用结束会自行删除所创建的定时任务。
JNDIExploit.zip
12-14
JNDIExploit
工具分享 | JNDI-Inject-Exploit是一款探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入的一键getshell工具。
IT软件汇
09-13 320
工具分享 | JNDI-Inject-Exploit是一款探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入的一键getshell工具。
JNDI-Injection-Exploit 项目 JDNI注入测试工具
最新发布
M1665487923的博客
04-16 757
当目标系统解析此 JSON 时,会触发 JNDI 查找,加载并执行你通过 JNDI-Injection-Exploit 提供的恶意代码。java -jar target/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [参数]并启动后端服务(如 RMI、LDAP 和 HTTP 服务器)的工具,主要用于测试和验证。(如 Fastjson、Jackson 等反序列化漏洞)。是一个用于生成可工作的。
JNDI注入攻击工具JNDI-Injection-Exploit-Plus:深度解析应用指南
gitblog_00020的博客
04-17 1044
JNDI注入攻击工具JNDI-Injection-Exploit-Plus:深度解析应用指南 项目地址:https://gitcode.com/gh_mirrors/jn/JNDI-Injection-Exploit-Plus 是一个由CCKuailong开发的开源项目,它专注于Java Naming and Directory Interface (JNDI) 注入漏洞的利用和测试。通过此项目...
JNDI-Injection-Exploit工具安装
arissa666的博客
10-17 1664
注意需要在.jar的目录写命令,或者java -jar 后面加上目录。配置完成之后就可以看到mvn版本信息了。因为提示mvn错误,解决下报错问题。执行一个本地调用计算机命令。从github上下载安装
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其中包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()中的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些中的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,... 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
JNDI-Inject-Exploit
11-04
# JNDI-Inject-Exploit ## 免责声明 本工具仅面向**合法授权的企业安全测试**,如您需测试本工具的可用性请自行搭建靶机环境,在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的...
jndi-1.2.1.jar.zip
03-20
ndi1..2.1所需要的jar,1,。2.1
JNDIExploit-1.4-SNAPSHOT.jar
01-10
编译后的JNDIExploit-1.4-SNAPSHOT.jar,可以直接用,1.4版本支持tomcatBypass路由直接上线msf。
jndi-1_2_1.zip_jndi_jndi-1.2.1.jar
09-23
在JAVA编程中对JNDI的支持.是一个开放的源码.
JNDIExploit-1.2-SNAPSHOT
03-20
JNDIExploit-1.2-SNAPSHOT
jndi所依赖的jar包
11-17
jndi所依赖的jar包,fscontext.jar和providerutil.jar,jndi.jar 将jndi.jar复制到%JAVA_HOME%\jre\lib\ext目录下就可得到持久的扩展
JNDI
JHandYY的博客
05-29 319
一、JNDI(容器:Tomcat ,Window) Java  Naming  and  Directory  Interface , Java命名和目录接口       是一组在Java应用中访问命名和目录服务的API       通过名称将资源服务进行关联 二、Tomcat  JNDI 配置及使用(将对象写入到Tomcat  JNDI)       参考 Tomca
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 3534
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。
JNDI-Injection-Exploit 项目使用教程
gitblog_00727的博客
09-13 1051
JNDI-Injection-Exploit 项目使用教程 JNDI-Injection-Exploit JNDI命令注入利用 项目地址: https://gitcode.com/gh_mirrors/jnd/JNDI-Injec...
jndi-injection-exploit使用
03-21
### JNDI注入漏洞的利用方法 JNDI(Java Naming and Directory Interface)是一种用于访问命名和目录服务的应用程序编程接口。当应用程序通过不受信任的数据动态加载远程资源时,可能会引发JNDI注入漏洞。这种漏洞允许攻击者执行恶意代码并控制目标系统。 #### 工具介绍 `JNDI-Injection-Exploit` 是一种专门设计用来测试和验证JNDI注入漏洞的工具[^2]。它能够生成特定的JNDI链接,并启动多个服务器来模拟实际攻击场景中的行为,例如针对Jackson、Fastjson等序列化库中存在的安全问题进行测试。 #### 利用流程概述 为了成功利用该漏洞,通常需要完成以下几个方面的操作: 1. **配置环境**: 需要确保本地开发环境中已经安装好必要的依赖项以及克隆下来的 `JNDI-Injection-Exploit` 仓库文件夹[^4]。 2. **运行脚本初始化RMI/LDAP Server**: 执行相应的Python脚本来设置监听的服务端口。例如,在终端输入如下命令可以启动一个简单的 RMI server: ```bash python3 jndi-rmi.py --port 8089 ``` 3. **构造恶意payloads**: 根据不同的框架特性定制适合的目标应用类型的载荷字符串。这些载荷最终会被嵌套到HTTP请求参数或者JSON对象字段之中传递给受害方解析处理。 4. **发送含有恶意数据包至受害者机器上**: 如果一切正常的话,则应该可以看到由我们自己搭建起来的服务接收到来自对方发起连接尝试的日志记录信息;此同时如果存在可被触发条件下的反序列化进程的话,那么就有可能实现任意代码执行效果了。 #### 安全防护建议 为了避免遭受此类攻击的影响,开发者应当采取以下措施加强系统的安全性: - 对外部传入的所有变量都应做严格的校验过滤工作; - 尽量减少不必要的功能模块暴露在外网环境下; - 及时更新补丁修复已知的安全隐患版本号差异情况等等[^1]。 ```python import subprocess def start_rmi_server(port=8089): try: result = subprocess.run(['python3', 'jndi-rmi.py', '--port', str(port)], capture_output=True, text=True) print(result.stdout) except Exception as e: print(f"Error occurred while starting the RMI server: {e}") start_rmi_server() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏葵毅Bess

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值