Log4J-RCE-Proof-Of-Concept 使用教程

于 2024-08-27 09:14:35 发布
阅读量190 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00650/article/details/141589791
版权

Log4J-RCE-Proof-Of-Concept 使用教程

Log4J-RCE-Proof-Of-ConceptLog4j-RCE (CVE-2021-44228) Proof of Concept with additional information项目地址:https://gitcode.com/gh_mirrors/lo/Log4J-RCE-Proof-Of-Concept

项目介绍

Log4J-RCE-Proof-Of-Concept 是一个用于演示 Log4j 远程代码执行漏洞 (CVE-2021-44228) 的证明概念项目。该项目旨在帮助开发者理解和防范 Log4j 框架中的安全漏洞。通过这个项目,用户可以学习如何利用和修复这个漏洞,从而提高系统的安全性。

项目快速启动

克隆项目

首先,克隆项目到本地:

git clone https://github.com/HyCraftHD/Log4J-RCE-Proof-Of-Concept.git

构建项目

进入项目目录并构建项目:

cd Log4J-RCE-Proof-Of-Concept
./gradlew build

运行项目

构建完成后,运行项目:

java -jar build/libs/log4j-rce-proof-of-concept.jar

应用案例和最佳实践

应用案例

假设你是一个开发人员,正在使用 Log4j 进行日志记录。通过这个项目,你可以模拟一个攻击场景,了解攻击者是如何利用 Log4j 漏洞进行远程代码执行的。这有助于你在实际开发中更好地防范类似攻击。

最佳实践

  1. 更新 Log4j 版本:确保使用最新版本的 Log4j,以避免已知的安全漏洞。
  2. 禁用 JNDI 查找:在配置文件中禁用 JNDI 查找功能,减少被攻击的风险。
  3. 使用安全配置:在日志配置中使用安全的模式,避免使用可能导致安全问题的配置选项。

典型生态项目

LunaSec

LunaSec 是一个专注于安全的公司,提供了关于 Log4j 漏洞的详细分析和修复指南。他们的文档和工具可以帮助开发者更好地理解和修复 Log4j 漏洞。

GitHub Advisory Database

GitHub Advisory Database 提供了关于各种开源项目的安全漏洞信息,包括 Log4j 漏洞。开发者可以在这里查找和了解最新的安全漏洞信息,并采取相应的措施进行修复。

通过这些生态项目和资源,开发者可以更全面地了解和应对 Log4j 漏洞,提高系统的整体安全性。

Log4J-RCE-Proof-Of-ConceptLog4j-RCE (CVE-2021-44228) Proof of Concept with additional information项目地址:https://gitcode.com/gh_mirrors/lo/Log4J-RCE-Proof-Of-Concept

龚盼韬
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
点火三周的专栏
12-12 5762
重要的提示 : 要了解 Elastic 当前如何评估我们产品中此漏洞的内部风险,请参阅此处 概述 这篇博文提供了 CVE-2021-44228 的摘要,并为 Elastic Security 用户提供了检测,以发现他们环境中对该漏洞的主动利用。 随着我们了解更多信息,我们将持续提供更多的更新。截至 2021 年 12 月 11 日星期六,此版本是准确的。可以通过Log4j2的安全页面直接调查来自 Apache 的更新。 CVE-2021-44228 (Log4Shell) 摘要 Lo...
log4j RCE 漏洞
b10d9的博客
12-19 4109
漏洞概述 记录本次log4j可以远程命令执行的漏洞。 CVE-2021-44228(log4shell):受影响版本:2.0-beta9(2013年9月发布)-2.14.1(2021年3月发布) CVE-2021-45046:受影响版本: 2.0-beta9 to 2.15.0, excluding 2.12.2 log4j是一款基于java的日志工具,是Apache logging server的一部分,是使用非常广泛的一种java日志框架,所以受影响范围极广。 漏洞原理 本次漏
log4j RCE 漏洞最新相关的Github资料汇总
LiBai'S BLOG
12-11 4418
log4j RCE
探索Apache Log4j RCE POC:一款强大的安全检测工具
gitblog_00066的博客
04-21 468
探索Apache Log4j RCE POC:一款强大的安全检测工具 项目地址:https://gitcode.com/xiajun325/apache-log4j-rce-poc 在网络安全领域,漏洞检测和预防是至关重要的。这个项目——apache-log4j-rce-poc,是一个针对著名Apache Log4j 2.x框架的远程代码执行(RCE)漏洞的验证工具。它的目标是帮助开发者、系统管...
网络安全最全log4j RCE 漏洞最新相关的Github资料汇总_log4j github(2)
2401_84239625的博客
05-04 820
—————— 描述:Buildpack providing a workaround for CVE-2021-44228 (Log4j RCE exploit) —————— 描述:CVE-2021-44228 DFIR Notes —————— 描述:Spring Boot web application vulnerable to CVE-2021-44228, nicknamed Log4Shell. —————— 描述:🐱‍💻 ✂️ 🤬 CVE-2021-44228 - LOG4J Java
探索Northwave的Log4j CVE-2021-44228检测工具
gitblog_00017的博客
06-21 340
探索Northwave的Log4j CVE-2021-44228检测工具 项目地址:https://gitcode.com/NorthwaveSecurity/log4jcheck 在2021年12月10日,一个针对Java库"log4j"的重大远程代码执行漏洞(RCEProof-of-Concept被公开,该漏洞被称为CVE-2021-44228。为了应对这一威胁,Nort...
jenkins 与 Log4j2 的漏洞
yeshen.org
12-11 2026
背景是我们弄了一个jenkins做Android的持续集成,然后昨天sa突然说我们的端口有漏洞,要我们尽快配置升级。 如何升级jenkins? jenkins默认的升级中心是这个:https://updates.jenkins.io/update-center.json 但是操作更新的时候提示更新失败:jenkins 升级到 2.227.1 失败. Fail to download from https://mirrors.tuna.tsinghua.edu.cn 最后找到的方法是: 在这个页面 https
【漏洞分析】CVE-2024-27198可RCE身份验证绕过JetBrains TeamCity
网络安全知识分享
03-11 2095
JetBrains发布了 TeamCity的风险通告,漏洞编号为 CVE-2024-27198 ,漏洞等级:高危,漏洞评分:9.8
DC-3靶机渗透详细流程
braty_的博客
01-24 724
DC-3 靶机渗透详细流程
Apache-Log4j-Learning-main.zip
06-02
Apache Log4j是一个广泛使用的Java日志框架,它允许应用程序记录各种日志事件。这个框架在许多企业级软件和服务器中都有应用,包括但不限于Apache服务器、Hadoop、Spring Boot等。然而,2021年12月初,一个严重的...
红队武器库-网络安全人员必备
anquanzushiye的博客
02-20 5455
包含内容:侦察武器化投递命令与控制横向移动建立立足点提权数据传输杂项内容很不错,建议转发朋友圈作为存档。侦察主动情报收集EyeWitnessis designed to take sc...
Comprehensive Guide to Web Penetration Testing and Network Security
weixin_65409651的博客
08-07 322
【代码】Comprehensive Guide to Web Penetration Testing and Network Security。
ant-design-vue-1.1.10-beta.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
基于flask实现的社交博客项目--《FlaskWeb开发》.zip
最新发布
08-26
基于flask实现的社交博客项目--《FlaskWeb开发》.zip
校园二手交易平台小程序源码 (优秀毕业设计源码)
08-26
1. 校园二手交易平台小程序代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:java,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
ant-design-vue-3.1.0.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
399、基于单片机protues仿真的多功能计步器设计(仿真图、源代码、讲解视频)
08-26
399、基于单片机protues仿真的多功能计步器设计(仿真图、源代码、讲解视频) 计步器功能的实验测试: 采用USB电源线连接移动电源给系统进行供电。首先打开电源开关,系统初始化后,将开始进行计步。在液晶显示屏上输入用户的身高体重,然后佩戴计步器步行,开始测试行走步数、速度以及消耗卡路里。计步器实物图及介绍如下, 按键从左到右依次是: ⑴设置键:按下按键进入设置身高体重页面; ⑵加值键:设置时,按下该按键对应参数+1 ; ⑶ 减值键:设置时,按下该按键对应参数-1 ; ⑷ 复位键:按下该按键单片机复位。 实际测试效果如下: (1)实物联电后打开开关的初始状态如图5-3所示。“V”代表当前瞬时速度,“B”代表当前行走步数,代表当前行走里程,代表当前行走所消耗的卡路里。 (2)按下按键1设置键设置身高170cm ,再按下按键1设置体重48kg ,设置好后再按一下退出。 ⑶ 检测运动后的实验图如图5-6所示,传感器采集到的运动加速度,显示步数为,总里程为,瞬时速度为,消耗的卡路里为。瞬时速度在停下运动后,逐渐降为0。其他示数不变。 ⑷ 按下右侧复位键后的实验图如图5-7所示,行走步
ant-design-vue-0.5.4.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
poc-yaml-thinkphp5023-method-rce poc1
07-29
poc-yaml-thinkphp5023-method-rce poc1 是一种潜在的安全漏洞利用程序,利用该程序可以对使用 ThinkPHP 5.0.23 版本的应用进行远程代码执行攻击。 ThinkPHP 是一款常用的 PHP 框架,版本 5.0.23 存在一个命令行解析漏洞,攻击者可以利用该漏洞在服务器上执行任意命令。poc-yaml-thinkphp5023-method-rce 是一个利用该漏洞的示例程序。 通过 poc1 工具,攻击者可以利用 YAML 文件解析的漏洞,实现远程代码执行。攻击者通过构造恶意 YAML 文件,并将其作为参数发送给目标应用的接口,从而触发代码执行。 该漏洞的危害性很高,攻击者可以在受影响的应用上执行任意命令,例如查看、修改或删除敏感文件,创建新用户账户,获取数据库信息等。这可能导致严重的安全风险和数据泄露。 为了防止此漏洞的利用,建议使用 ThinkPHP 的最新版本,并及时更新框架。此外,应开启严格的访问控制,限制对敏感函数和文件的访问。同时,将任何用户输入数据进行严格过滤和验证,以防止注入攻击。最重要的是,及时关注和安装安全补丁,保持应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龚盼韬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值