Log4j2 - 第 2 | CN-SEC 中文网

安全文章

内网下(CVE-2021-44228)漏洞的检测及其延伸

其实这篇文章在之前就应该写完了，Log4j2(CVE-2021-44228)漏洞爆发到现在已经一年半了，奈何没有时间、精力去思考在内网环境下如何发现漏洞；过年那段时间看到了一个监听各类协议的项目，参考...

11月24日28 views评论

阅读全文

安全漏洞

log4j2远程命令执行回显(cve-2021-44228)

01 前言记录一次无法利用jndi工具反弹log4j2的shell，利用页面回显执行任意命令。02 过程通过vulfocus靶场进行复现log4j2命令执行回显该操作。通过测试发现payload参数可...

11月14日45 views评论

阅读全文

安全新闻

Apache ActiveMQ Artemis需授权,权限管理不当漏洞可导致远程代码执行

漏洞描述:ApacheActiveMQArtemis发布安全公告,公开了一个Apache ActiveMQArtemis中的权限管理不当漏洞,该漏洞是由于Apache ActiveMQ Artemis...

10月16日39 views评论

阅读全文

安全文章

实战|ez突破边界到内网渗透

前言：已经有好久没有发过文章了，最近也是比较闲，想着随便写一点，由于一些案例比较久，文章有些内容没有截图，只能去靠文字去描述一些方法利用ez打点：这里安利一下ez扫描器，个人感觉这款扫描器还是挺好用的...

08月19日251 views评论

阅读全文

安全文章

ez突破边界到内网渗透

08月19日194 views评论

阅读全文

安全工具

工具 | log4j2Scan

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介log4j2Scan是一款用来快速扫描log4j2 jndi漏洞的b...

08月14日27 views评论

阅读全文

安全文章

【实战】log4j2绕过jdk高版本拿shell

点击上方蓝字关注我们吧文章有错误的地方还请师傅们指出，欢迎各位师傅加群进行技术交流~在某次项目中扫到了一个log4j2漏洞，立马拿着常用工具一顿猛梭，结果发现该站用的是jdk8，且版本高于1.8.0_...

07月01日148 views评论

阅读全文

代码审计

log4j2远程代码执行漏洞原理

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！log4j2漏洞原理？CVE-2021-44228，简称：log4j2，利用漏洞可以执行任意命令。该漏洞影响所有 log4j2 受影响的版本，...

05月13日32 views评论

阅读全文

HW&HVV

攻防演练中log4j2的简单利用-攻防演练

0x01 前言仍记得是上上个月，突然来了一份报告，报告内容应该是前不久的一次攻防，学校的统一认证有个log4j，被漫游进了内网，现在客户就需要验证漏洞是否存在，快到下班点了，就随手照着...

04月29日37 views评论

阅读全文

安全文章

记录一次渗透经历

本次渗透的目标是补天上某项目，通过信息收集找到了登陆界面对一个网站渗透的方法有很多，遇到这样的界面我们通常的思路就是查网站源码、万能密码登录、XSS、SQL注入、密码爆破、修改code进行未授权访问、...

04月01日47 views评论

阅读全文

安全文章

writeup-渗透攻击红队域渗透靶场-2（redteam.lab）

网络拓扑log4j2 rcenmap端口扫描访问38080，spring框架，梭哈了以下spring4shellscan，没东西，靶机作者这里是直接设置的payload参数，所以这个点仁者见仁，真实环...

03月15日82 views评论

阅读全文

安全文章

记一次Log4j2命令执行漏洞复现

前言：好久之前都想复现下这个著名的漏洞了，但复现之后好像还没完全理解，等实战遇到了再说吧。。Vulhub靶场靶机：192.168.234.193中转机：192.168.234.1 （jdk1.80）...

02月19日25 views评论

阅读全文

在线咨询

微信