Minecraft-ApacheLog4j2
Minecraft中的Log4j2漏洞复现
准备工作:
- Minecraft服务器一台(靶机IP:
targeted_ip
) - Minecraft1.7-1.18官方服务端
- 攻击机一台(攻击机IP:
hacking_ip
)
复现过程:
下载工具JNDIExploit
根据操作文档:
在攻击机上开启jndi服务:
攻击机开启监听端口:
根据操作文档,构造:
1 |
|
最终payload:
1 |
|
进入服务器,在聊天框内输入payload:
反弹shell:
可能导致线程崩溃,拿到shell之后重新开服即可
参考资料:
Minecraft-ApacheLog4j2
http://potatowo233.github.io/2023/10/11/Minecraft-ApacheLog4j2/