点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

简介

网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。

Apache:是世界使用排名第一的Web服务器软件,可以运行在全球几乎所有广泛使用的计算机平台上。

作为Apache 的一个开源项目,Apache Log4j 2是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了丰富的特性,作为日志记录基础第三方库,被大量 Java 框架及应用使用。

通过Google搜索引擎对依赖该组件的产品、其他开源组件分析后发现,有310个产品、开源组件依赖了Apache Log4j2 2.14.1的版本,包括诸多全球使用量的Top序列的通用开源组件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。

这个漏洞有的人称它是地震级、开源社区称它是核弹级,而我喜欢称它为灭世级,为啥称它是灭世级。看下面几个图片就明白了。

百度

iCloud

纸上触发这个就很离谱,哈哈哈

由于目前还在该漏洞的应急期(爆出漏洞之后1-2个月)还不知道payload的可以在微信公众号里面回复“牛X”就可以获取,直接放在文章里面怕被举报哈

  • 高级利用骚姿势

在还有人不知所以的时候有的大佬已经研究出如何利用这个漏洞去搞物联网设备、耳机、电脑、开放WiFi的设备等,这就很离谱。

大概的利用方法就是把蓝牙名称和wifi名称加入payload即可,简单粗暴。

最后不得不提一下,昨晚最忙的可能不是安全从业者,而是 dnslog,哈哈!

往期内容

CFT学习资源与工具上新

工具篇-BurpSutie Pro 2021.10.1最新版本

2021湖北省工匠杯预赛WriteUP

更多资讯长按二维码 关注我们

觉得不错点个“赞”呗      

灭世之Apache Log4j2 远程代码执行漏洞相关推荐

  1. Apache Log4j2远程代码执行漏洞攻击,华为云安全支持检测拦截

    近日,华为云安全团队关注到Apache Log4j2 的远程代码执行最新漏洞.Apache Log4j2是一款业界广泛使用的基于Java的日志工具,该组件使用范围广泛,利用门槛低,漏洞危害极大.华为云 ...

  2. 【紧急】Apache Log4j2 远程代码执行漏洞

    0x01 漏洞背景 12月9日,监测到网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可 ...

  3. Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测拦截

    腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码. 漏洞描述: 腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,L ...

  4. Apache Log4j2 远程代码执行 漏洞

    1.漏洞说明 Apache Log4j2是一个基于Java的日志记录工具.该工具重写了Log4j框架,并且引入了大量丰富的特性.该日志框架被大量用于业务系统开发,用来记录日志信息.大多数情况下,开发者 ...

  5. Apache Log4j2远程代码执行漏洞

    漏洞介绍 Apache Log4j2是一个基于Java的日志记录工具.该工具重写了Log4j框架,并且引入了大量丰富的特性.该日志框架被大量用于业务系统开发,用来记录日志信息.大多数情况下,开发者可能 ...

  6. 分析Apache Log4j2 远程代码执行漏洞

    漏洞描述 Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台.文件.GUI组件,甚至是套接口服务器.NT的事件记录器.UNIX Syslog守护进程等:也 ...

  7. Apache Log4j2远程代码执行漏洞(CVE-2021-44228)

    发布日期:2021-12-12 名称:Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228) 级别:严重 描述信息:Apa ...

  8. 安全漏洞:Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)

    阿里云漏洞库 (aliyun.com) 漏洞介绍 解决建议 1.排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响.同时为了避免在 ...

  9. Apache Log4j2 远程代码执行高危漏洞 解决方案

    新闻:https://view.inews.qq.com/a/20211210A05KTY00 博主其他文章 Log4j2 高危漏洞分析 简介: Apache Log4j2是一款优秀的Java日志框架 ...

  10. 快速修复 Log4j2 远程代码执行漏洞步骤

    点击关注公众号,实用技术文章及时了解 来源:blog.csdn.net/weixin_48990070/ article/details/121861553 目录 漏洞说明 修复步骤 下载源码zip包 ...

最新文章

  1. 剑指offer: 变态跳台阶 python实现
  2. python 爬虫工具
  3. Python Flask框架常用组件介绍
  4. html 内部浮动外部不,DIV设置浮动后无法撑开外部DIV的解决办法
  5. Python3报错:TypeError: unsupported operand type(s) for +: ‘int‘ and ‘str‘
  6. java perm 查看_高级 Java 必须掌握:JVM 分析工具和查看命令,超详细
  7. 2 Python 介绍
  8. maven命令mvn package指定jar包名称
  9. 页面搭建工具总结及扩展架构思考
  10. java中html在哪里找_java – 如何找出在我的servlet中推送哪个HTML按钮?
  11. php接口模式,PHP设计模式 - 流接口模式
  12. mysql 查看锁表_MySQL的四种事务隔离级别
  13. 闲谈输入法、MinGW、日文字体
  14. 简单的http客户端
  15. matlab复数参数的虚部已忽略,[问题] 复数 X 和/或 Y 参数的虚部已忽略
  16. Android 原生插件开发步骤
  17. 【浙大版《Python 程序设计》题目集(解)】第4章-9 查询水果价格(15分)
  18. Mysql学习之三. NLJ和BLN介绍
  19. 利用第三方服务平台实现简单的短信验证功能
  20. 职业教育迎来新的发展期

热门文章

  1. abaqus如何快速导入其他cae文件的assembly?
  2. Module not found: Error: [CaseSensitivePathsPlugin]
  3. python读取fits第三方库_python-astropy.io.fits从具有多个HDU的大型fits文件中读取行
  4. Word替换重复的内容
  5. 带你从头到尾梳理大图片加载OOM处理问题
  6. ngx_stream_core_module
  7. 企业或个人域名备案怎么弄
  8. 统计物理中积分计算和态密度计算要点
  9. 【重要】国庆节快乐!有三AI所有课程限时7天优惠
  10. 【微信小程序云开发 云数据库 云函数 云存储】