“ jdwp-shellifier.py”
看到了,关注一下不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP知识点,车联网,渗透红队以及漏洞挖掘工具等信息分享,欢迎加入;以及想挖SRC逻辑漏洞的朋友,可以私聊。
01
—
jdwp-shellifier
漏洞原理:
JDWP(Java Debug Wire Protocol)是Java平台调试体系结构的一部分,它允许调试器通过网络连接到正在运行的Java虚拟机(JVM)上,并执行诊断和调试操作。JDWP协议使用基于TCP的网络通信,并采用二进制格式进行数据传输。
JDWP漏洞是指攻击者可以通过网络连接到正在运行的Java虚拟机(JVM)上,并利用JDWP协议中存在的安全漏洞执行恶意代码或获取敏感信息的漏洞。
JDWP漏洞的原理通常是由于JVM在默认配置下启用了JDWP,并将JDWP端口暴露在网络上,攻击者可以利用这个开放的端口进行攻击。攻击者可以通过JDWP协议向JVM发送指令,从而控制JVM并执行恶意代码。攻击者还可以利用JDWP协议中的命令获取JVM中的敏感信息,例如类名、方法名、变量名等。
为了避免JDWP漏洞,建议禁用JDWP或在JVM配置中限制JDWP端口只能本地访问。另外,也建议在网络环境中使用防火墙等安全措施,限制外部网络对JVM端口的访问。
最近打靶机遇到了需要jdwp-shellifier脚本,但是github上面的版本大多数是python2的版本,不一定好使,这里分享一位大佬写的python3版本的jdwp-shellifier:
python2版本:https://github.com/IOActive/jdwp-shellifierpython3版本:https://github.com/hugsy/jdwp-shellifier
可以根据自己靶机的python环境来使用对应的jdwp-shellifier
原文始发于微信公众号(道玄网安驿站):JAVA安全之jdwp命令执行脚本jdwp-shellifier
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论