JNDIChekLog,主要检测JNDI反连情况,适用于在无dnslog或者内部网络环境情况下,利用ldap探测log4j,fastjson等反连型漏洞。(仅支持连接检测,不支持漏洞利用,目标服务器需可访问部署服务的机器)
java-jar JNDIChekLog
或者
java-jar JNDIChekLog -i [ip default 0.0.0.0] -l [Ldap bind port default 1389] -p [Http bind port default 8080]
启动成功后,程序ldap监听1389端口,http监听8080端口。
检测目标需要可以tcp反向连接部署该服务的机器
使用 【jndi:ldap://服务ip:服务端口/随机字符串】访问ldap服务
使用 http://服务ip:服务端口/随机字符串.md5 字符串确认ldap是否请求成功。如果成功返回200,未请求成功返回404
如:部署服务ip为 1.1.1.1 使用默认端口 ,向log4j漏洞服务发送${jndi:ldap://1.1.1.1:1389/32173927323723}
当漏洞访问成功后,检测http://1.1.1.1:8080/32173927323723.md5 ,返回200则表示目标访问了ladp协议,可能存在漏洞,404表示未访问ldap协议。
本工具仅面向合法授权的企业安全建设行为,如您需要测试本工具的可用性,请自行搭建靶机环境。
为避免被恶意使用,本项目不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用,只检测目标是否成功访问ldap协议。
在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行测试。
如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。
在安装并使用本工具前,请您务必审慎阅读、充分理解各条款内容,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。