RMI日志
所有对你的域名以及其子域名的任何RMI请求,都会记录在RMI日志中:
点击“How to use RMI log”,可以查看相关用法。你RMI地址是:
rmi://<conote-addr>:1099/<your domain>/<custom data>
其中:
<conote-addr>CoNote平台IP地址,或者是任何指向CoNote的域名<your domain>你的任意一个专属域名或其任意子域名。CoNote使用其确认日志的所有者,必填项<custom data>任意数据,不是必须选项
我们在测试JNDI等漏洞时,将你的rmi链接传入,如果能够收到RMI日志,说明目标存在JNDI注入漏洞。
日志内容
在RMI日志列表中,你可以看到5列数据:
- TIME: 接收到RMI日志的时间
- PATH DOMAIN: RMI地址中的
<your domain> - PATH VALUE: RMI地址中的
<custom data> - DECLARED IP: RMI协议中客户端宣称的IP地址,一般是客户端的内网IP
- IP: 客户端IP地址
References
JNDI版本限制图片来自于:参考文档
虽然JNDI注入的利用受到Java版本的限制,但用CoNote中RMI或LDAP日志检测JNDI注入不受版本限制,Java 17仍然可以使用。
JNDI注入限制版本关系: