若依最新后台RCE漏洞利用工具

ivi

信安404 2024-03-04 23:54 天津

免责声明：

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

0x01 前言

若依最新后台定时任务SQL注入可导致RCE漏洞的一键利用工具, 扫描和漏洞利用结束会自行删除所创建的定时任务。

0x02 工具使用说明

单个检测

因为该漏洞需要登陆后台触发，所以我们需要配置Cookie请求头，点击设置-->请求头设置-->添加Cookie即可,添加完成即可进行漏洞检测

漏洞利用

当定时任务存在SQL注入时，我们可以使用JNDI进行漏洞利用,首先我们需要下载cckuailong师傅的JNDI-Injection-Exploit-Plus项目(https://github.com/cckuailong/JN ... us/releases/tag/2.3)。

1. java8 -jar JNDI-Injection-Exploit-Plus-2.3-SNAPSHOT-all.jar -C calc -A 127.0.0.1

复制代码

然后我们使用该工具的JNDI模块进行一键利用