介绍 最近把自己之前写的JNDI注入利用工具改了一下push到了github,地址:https://github.com/welk1n/JNDI-Injection-Exploit,启动后这个工具开启了三个服务,包括RMI.LDAP以及HTTP服务,然后生成JNDI链接.测试时可以将JNDI链接插入到JNDI注入相关的POC中,如Jackson.Fastjson反序列化漏洞等. 三个服务中,RMI和LDAP基于marshalsec中RMIRefServer.LDAPRefServer类修改而成,…