转载于长亭科技、github。
一、log4j2漏洞靶场
为了互联网的安全,也为了给大家学习的环境,有很多同学不知道如何复现,我搭建了一个漏洞靶场,我编写的docker-compose.yml
地址是:https://github.com/fengxuangit/log4j_vuln
或者直接运行命令
docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vulndocker run -it -d -p 8080:8080 --name log4j_vuln_container registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vulndocker exec -it log4j_vuln_container /bin/bash/bin/bash /home/apache-tomcat-8.5.45/bin/startup.sh
然后访问你的8080的端口,按照视频教程玩就行。你的靶场你自己随便玩!
二、在线检测
迟到但不会缺席
首个 Log4j2 漏洞检测工具上线
长亭技术人连夜加速
线上扫描+下载后本地扫描
全部支持
三、Log4j2 RCE burpsuite的被动扫描器插件
Log4j2 远程代码执行漏洞,BurpSuite 被动扫描插件。暂只支持Url、Cookie、POST(x-www-form-urlencoded)类型的参数fuzz。dnslog.cn由于请求人数过多,时有无法访问接口的问题,如果出现无法扫描的情况,请确认插件日志中是否提示Dnslog加载成功。
下载地址:https://github.com/whwlsfb/Log4j2Scan
往期推荐
原文始发于微信公众号(HACK之道):干货|log4j2漏洞靶场、在线检测、burp检测插件(附下载地址)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论