Apache Log4j Server 反序列化漏洞（CVE-2017-5645）

文章目录

一、漏洞介绍
- 1.1 漏洞介绍
- 1.2 影响版本
二、漏洞复现
三、防御措施

一、漏洞介绍

1.1 漏洞介绍

Apache的一个开源的日志记录库，通过使用Log4j语言接口，可以在C、C++、.Net、PL/SQL程序中方便使用，其语法和用法与在Java程序中一样，使得多语言分布式系统得到一个统一一致的日志组件模块。通过使用三方扩展，可以将Log4j集成到J2EE、JINI甚至是SNMP应用中。但Log4j2.8.2之前的版本中存在反序列化漏洞。

1.2 影响版本

Log4j<2.8.2

二、漏洞复现

使用vulhub漏洞环境复现

》》docker中启动漏洞环境

》》nmap探测对方端口服务状态

》》准备一台公网服务器，开启nc监听（用于探测漏洞）

》》使用ysoserial生成payload，发送给目标服务器的4712端口，使其加载执行代码

java -jar ysoserial.jar CommonsCollections5 "（Payload）" | nc VictimIP 4712

》》成功拿到shell

如果接不到shell，尝试关闭防火墙

三、防御措施

升级Log4j到最新版本

Apache Log4j Server 反序列化漏洞（CVE-2017-5645）相关推荐

【Vulhub】Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)
脚本小子上线啦,开始复现以前出现实战环境的漏洞了,我会记录一些复现的漏洞(不会是全部),今天这个漏洞的原理我也不太会就知道是个Java反序列化的洞,只负责复现(脚本小子~). 漏洞介绍&环境搭 ...
rmi 反序列化漏洞_提醒：Apache Dubbo存在反序列化漏洞
背景: 近日监测到Apache Dubbo存在反序列化漏洞(CVE-2019-17564),此漏洞可导致远程代码执行.Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框 ...
APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析
聚焦源代码安全,网罗国内外最新资讯! 1.1 状态完成漏洞挖掘条件分析.漏洞复现. 1.2 简介相关的重点类和方法: org.apache.xmlrpc.parser.SerializableP ...
Apache日志记录组件Log4j出现反序列化漏洞黑客可以执行任意代码所有2.x版本均受影响...
开源的东西用的人多了,自然漏洞就多.Apache用于日志记录的组件Log4j使用非常灵活,在相当多的开源项目中都有使用,此次漏洞影响所有Apache Log4j 2.*系列版本: Apache Log ...
Apache HTTP Server拒绝服务漏洞
CNNVD编号:CNNVD-201108-440 CVE编号: CVE-2011-3192 漏洞 Apache HTTP Server是一款开源的流行的HTTPD服务程序. 当处理包含大量Ranges ...
Apache Commons Collections反序列化漏洞分析与复现
聚焦源代码安全,网罗国内外最新资讯! 1.1 状态完成漏洞挖掘条件分析.漏洞复现. 1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,[JD ...
Apache Shiro Java 反序列化漏洞分析
Shiro概述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理.目前在Java web应用安全框架中,最热门的产品有Spring Security和Sh ...
Flink等多组件受影响，Apache Log4j曝史诗级漏洞
全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞,攻击者可以利用该漏洞远程执行恶意代码.据阿里云通报,由Apache Log4j2某些功能存在递归解析功能,攻击者可直 ...
Apache Shiro Java 反序列化漏洞解决修复记录
收到了阿里的警告阿里漏洞扫描系统解决办法借鉴了 https://blog.csdn.net/Fly_hps/article/details/106112692 下载windows 扫描工具 ht ...