Log4j2 - 第 2 | CN-SEC 中文网

安全文章

ez突破边界到内网渗透

前言：已经有好久没有发过文章了，最近也是比较闲，想着随便写一点，由于一些案例比较久，文章有些内容没有截图，只能去靠文字去描述一些方法利用ez打点：这里安利一下ez扫描器，个人感觉这款扫描器还是挺好用的...

08月19日153 views评论

阅读全文

安全工具

工具 | log4j2Scan

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介log4j2Scan是一款用来快速扫描log4j2 jndi漏洞的b...

08月14日22 views评论

阅读全文

安全文章

【实战】log4j2绕过jdk高版本拿shell

点击上方蓝字关注我们吧文章有错误的地方还请师傅们指出，欢迎各位师傅加群进行技术交流~在某次项目中扫到了一个log4j2漏洞，立马拿着常用工具一顿猛梭，结果发现该站用的是jdk8，且版本高于1.8.0_...

07月01日127 views评论

阅读全文

代码审计

log4j2远程代码执行漏洞原理

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！log4j2漏洞原理？CVE-2021-44228，简称：log4j2，利用漏洞可以执行任意命令。该漏洞影响所有 log4j2 受影响的版本，...

05月13日32 views评论

阅读全文

HW&HVV

攻防演练中log4j2的简单利用-攻防演练

0x01 前言仍记得是上上个月，突然来了一份报告，报告内容应该是前不久的一次攻防，学校的统一认证有个log4j，被漫游进了内网，现在客户就需要验证漏洞是否存在，快到下班点了，就随手照着...

04月29日33 views评论

阅读全文

安全文章

记录一次渗透经历

本次渗透的目标是补天上某项目，通过信息收集找到了登陆界面对一个网站渗透的方法有很多，遇到这样的界面我们通常的思路就是查网站源码、万能密码登录、XSS、SQL注入、密码爆破、修改code进行未授权访问、...

04月01日45 views评论

阅读全文

安全文章

writeup-渗透攻击红队域渗透靶场-2（redteam.lab）

网络拓扑log4j2 rcenmap端口扫描访问38080，spring框架，梭哈了以下spring4shellscan，没东西，靶机作者这里是直接设置的payload参数，所以这个点仁者见仁，真实环...

03月15日73 views评论

阅读全文

安全文章

记一次Log4j2命令执行漏洞复现

前言：好久之前都想复现下这个著名的漏洞了，但复现之后好像还没完全理解，等实战遇到了再说吧。。Vulhub靶场靶机：192.168.234.193中转机：192.168.234.1 （jdk1.80）...

02月19日19 views评论

阅读全文

安全文章

实战 || 记一次某项目中的渗透测试

一、前言警告：本文中提及的漏洞已提交给相关机构，并在修复后予以公开。未经授权，严禁进行任何形式的渗透测试！切记遵守法律，维护网络安全！二、信息收集经过对域名接口信息收集、子域名信息收集、CMS指纹识别...

02月17日41 views评论

阅读全文

安全工具

BurpSuite 的 Log4j2 RCE 被动扫描器插件

0x01 工具介绍该工具为被动扫描Log4j2漏洞CVE-2021-44228的BurpSuite插件，具有多DNSLog（后端）平台支持，支持异步并发检测、内网检测、延迟检测等功能。0x02 安装与...

02月01日52 views评论

阅读全文

安全文章

漏洞环境搭建及log4j2简单复现

Part1 前言 0x01 Vulfocus Vulfocus是一个漏洞集成平台，将docker 漏洞镜像，放入即可使用，开箱即用的平台，可以用于漏洞复现，POC验证，EXP验证，快速搭建启动...

01月10日55 views评论

阅读全文

安全文章

log4j2原理分析及漏洞复现- CVE-2021-44228

扫码领资料获网安教程log4j2原理分析及漏洞复现0x01 log4j2简介Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级版本，相比于 Log4j...

12月20日118 views评论

阅读全文

在线咨询

微信