我在前段时间写过一篇《探索高版本 JDK 下 JNDI 漏洞的利用方法》，里面例举了几种可以用作 JNDI 漏洞在Tomcat7和非Tomcat时的利用方法。

其中提到NativeLibLoader能够实现 JNI 功能加载 so/dll/dylib 文件。

但有几个前提条件。

• 用户可以用某种方式写入一个文件内容开头可控的二进制文件
• 这个文件名必须是以 so/dll/dylib 结尾
• 必须知道这个文件的绝对路径

这几个条件会使危害大打折扣，所以需要再找到一个写文件的工具类。

OWASP Zed Attack Proxy 简称 ZAP，是一个开源的安全测试工具，功能和 Burpsuite 基本一样，它们同样使用 Java 语言编写，本人也曾有用过一段时间 ZAP，它完全可以替代 Burpsuite，不过也可能是由于先入为主的观念还是觉得 Burpsuite 用着更顺手。

自从 2021.12 月的 log4j2 JNDI 漏洞出现，ZAP 官方也随之更新了关于 ZAP 受到 log4j2 漏洞影响的公告，详情参见ZAP and Log4Shell

高版本JDK在RMI和LDAP的trustURLCodebase都做了限制，从默认允许远程加载ObjectFactory变成了不允许。RMI是在6u132, 7u122, 8u113版本开始做了限制，LDAP是 11.0.1, 8u191, 7u201, 6u211版本开始做了限制。

所以修复后的JDK版本无法在不修改trustURLCodebase的情况下通过远程加载ObjectFactory类的方式去执行Java代码。