Explotación Vulnerabilidad Log4Shell / Log4J explicada Paso a Paso/ Log4Shell Exploited step by step

แชร์
ฝัง
  • เผยแพร่เมื่อ 23 ธ.ค. 2024

ความคิดเห็น • 100

  • @davidduque2202
    @davidduque2202 2 ปีที่แล้ว

    Muchas gracias, la explicación fue excelente y me fue de gran ayuda a la hora de resolver la maquina Unified en HTB y poder entender como funcionaba esta vulnerabilidad.

  • @realsamu
    @realsamu 3 ปีที่แล้ว +9

    Super entendible para alguien que es desarrollador pero no tiene conocimientos profundos en ciberseguridad. Muchas gracias!

  • @alepecho
    @alepecho 2 ปีที่แล้ว +1

    Excelentes explicaciones...tengo casi 2 semanas de venir viendo el contenido de este Canal . Profesor Pereira muchas gracias por su tiempo. No se cómo alguien se puede aburrir y solo ver 5 minutos.. ? Este contenido es oro. Saludos desde Costa Rica 🇨🇷

  • @alokintesla6585
    @alokintesla6585 ปีที่แล้ว

    Como siempre info de primera, muchas gracias por compartir. Saludos

  • @Ale124J
    @Ale124J 3 ปีที่แล้ว

    Esto lo vi en Una noticia en Google entendio un poco pero gracias a este video este mas

  • @UnDarkVader
    @UnDarkVader 3 ปีที่แล้ว

    Vine del ruido que generó esta vulnerabilidad y mira el video y el canal que me encuentro. ¡Sigue adelante! Cuentas con un aliado más. ¡No había encontrado una motivación para volver al ruedo en ciberseguridad!

  • @compartelo007
    @compartelo007 3 ปีที่แล้ว +12

    Le diría que ha sido una excelente explicación pero le mentiría. Ha sido una explicación por encima de la excelencia, así que lo dejaré por hyper-excelente. Gracias

    • @nirvana427
      @nirvana427 3 ปีที่แล้ว +1

      Por poco me hacias salirme del video.

    • @compartelo007
      @compartelo007 3 ปีที่แล้ว

      @@nirvana427 Menos mal que parece que te gusta investigar por ti mismo y no fiarte del comentario hasta no leerlo todo. Saludos

  • @fpizarrosil
    @fpizarrosil 2 ปีที่แล้ว

    Muchisimas gracias profe por la explicación! me ayudo mucho

  • @clarksoft
    @clarksoft 2 ปีที่แล้ว +1

    felicitaciones Maestro.. he visto varios videos explicativos y este creo que es el mejor.
    si le sirve este tip:
    echo | base64 -d
    y se evita buscar una web.. saludos y gracias.

  • @rko_182
    @rko_182 3 ปีที่แล้ว +1

    Muchas gracias por el fabulo video profe. Sin duda en este video me quito el sombre frente a usted.

  • @ser12369
    @ser12369 3 ปีที่แล้ว +1

    David muchas gracias por tu explicación en verdad eres el thanos de la seguridad informática

  • @andresram_1
    @andresram_1 3 ปีที่แล้ว +3

    Man, sos un crack. Una explicación genial y bastante conveniente. Saludos desde Europa!

  • @rafuael
    @rafuael 2 ปีที่แล้ว

    super buena explicación saludos desde México

  • @harlex35
    @harlex35 3 ปีที่แล้ว +9

    Que buena explicación para entender de la vulnerabilidad que se habla por todos lados.
    Gracias 😁

  • @edwinponce9661
    @edwinponce9661 3 ปีที่แล้ว +1

    Excelente y muchas Gracias David, gracias por compartir tu conocimiento.

  • @joseguitarra
    @joseguitarra 3 ปีที่แล้ว +1

    Magistral. Muchas gracias por ser tan didáctico.

  • @the_wizard_exe
    @the_wizard_exe 3 ปีที่แล้ว

    ni hack5 pudo dar mejor explicacion que este profe tan pro , gracias profe por la explicacion muy buen material!

  • @andrespekkadorado4810
    @andrespekkadorado4810 3 ปีที่แล้ว +7

    Me gusta mucho la manera de enseñar de éste docente , usa buenos ejemplos siempre , por si acaso no tuviera cursos en Udemy sobre ethical Hacking , le iría súper bien , saludos desde bolivia

    • @DavidPereira
      @DavidPereira  3 ปีที่แล้ว +3

      Muchas gracias Andrés; tenemos cursos en nuestra plataforma propia; si estás interesado puedes escribir a info@secpro.co saludos.

    • @Daniel_1091
      @Daniel_1091 3 ปีที่แล้ว +1

      No seas *** como que Udemy por eso el tiene su propia plataforma

    • @kangjr69ff46
      @kangjr69ff46 3 ปีที่แล้ว

      Primero ve a la playa xddd

  • @carlosrgvrafael1349
    @carlosrgvrafael1349 3 ปีที่แล้ว

    Excelente video gracias Maestro saludos desde Cuba

  • @Edmundo_Rivero
    @Edmundo_Rivero 3 ปีที่แล้ว

    espectacular el video. Muchas gracais

  • @criptocrunch
    @criptocrunch 3 ปีที่แล้ว +6

    Muy buen video y mas para esa gente, que se creen que poniéndose linux que claro no es tan usado como windows en la sociedad, ya estan a salvo de virus y todo tipo de ataques y vulnerabilidades, te felicito y te mando un saludo desde Barcelona.

    • @kcireorenom8430
      @kcireorenom8430 3 ปีที่แล้ว +4

      Que tiene que ver Linux .. están vulnerando un SERVIDOR TOMCAT que puede ser montado en cualquier sistema operativo con JAVA.

    • @hugogonzalez2608
      @hugogonzalez2608 3 ปีที่แล้ว +1

      Si es verdad pero para mi en lo personal prefiero linux que la mierda de windos

    • @criptocrunch
      @criptocrunch 3 ปีที่แล้ว

      @@hugogonzalez2608 Si yo tambien

    • @criptocrunch
      @criptocrunch 3 ปีที่แล้ว

      @@kcireorenom8430 a lo que me vengo a referir es que la gente que no entiende como tu o yo piensan que si ponen linux o mac estan libres de virus y ya...

  • @davidmm5
    @davidmm5 3 ปีที่แล้ว

    Super. Un fantástico video explicativo de la vulnerabilidad.

  • @Albert-gs2jp
    @Albert-gs2jp 3 ปีที่แล้ว

    muchas gracias por la explicación a detalle, muy claro!

  • @davidriquelme2855
    @davidriquelme2855 3 ปีที่แล้ว +1

    Hola Profe muchisimas gracias por el material esta buenisimo

  • @stand_twice
    @stand_twice 3 ปีที่แล้ว +1

    Buenísimo el video, se agradece siempre la manera de explicar atenta!

  • @JosueBasurto
    @JosueBasurto 3 ปีที่แล้ว +1

    Me agrado! ME quedo claro la prueba de vulnerabilidad.

  • @antonioteixeira2033
    @antonioteixeira2033 3 ปีที่แล้ว +1

    Gracias por la información

  • @eloyalbiachforner3251
    @eloyalbiachforner3251 3 ปีที่แล้ว

    Muchas gracias David por tu buen hacer, un saludo.

  • @yamithforero8097
    @yamithforero8097 3 ปีที่แล้ว

    Gracias Profe, como siempre usted transmitiendo la información de manera clara

  • @JMBarroso
    @JMBarroso 3 ปีที่แล้ว

    Eres un crack maestro ;)

  • @nightwarriorFX
    @nightwarriorFX 3 ปีที่แล้ว

    muy buen video! excelente explicación

  • @JohnSmith-hz5um
    @JohnSmith-hz5um 3 ปีที่แล้ว

    Interesante contenido y genial explicación. Sinceramente agradecido Maestro Pereira. Muchas gracias de nuevo.

  • @pepelepu2178
    @pepelepu2178 3 ปีที่แล้ว

    Por eso me encanta este canal, por el cuidado al explicar y el tiempo que se toma en los videos sin guardarse nada...de los escaneres para validar si existe la vulnerabilidad cual es el mas completo y confiable? Podrias hacer un paso a paso de como usarlo! Gracias!

  • @jhonhenrry4161
    @jhonhenrry4161 3 ปีที่แล้ว +1

    Amo tus vídeos

  • @d13goF_
    @d13goF_ 3 ปีที่แล้ว +1

    Muy bien explicado!

  • @pedroluissena5624
    @pedroluissena5624 3 ปีที่แล้ว +1

    Excelente contenido Maestro

  • @pierrojas7688
    @pierrojas7688 3 ปีที่แล้ว

    Excelente explicación maestro, felicitaciones!!

  • @SergioDanielQuiroga
    @SergioDanielQuiroga 3 ปีที่แล้ว

    Excelente !!!

  • @RicardoBird92
    @RicardoBird92 3 ปีที่แล้ว

    Excelente explicación

  • @slapplease8377
    @slapplease8377 3 ปีที่แล้ว

    Enseñas muy bien gracias 😁

  • @DeibyAvila
    @DeibyAvila 3 ปีที่แล้ว

    Muchas Gracias por compartir el conocimiento!!

  • @windjorgeSUP
    @windjorgeSUP 3 ปีที่แล้ว +1

    Gracias Amigo

  • @fantasma2045
    @fantasma2045 3 ปีที่แล้ว

    genial video

  • @raulfff
    @raulfff 3 ปีที่แล้ว

    Interesante contenidos saludos

  • @nenenel5608
    @nenenel5608 3 ปีที่แล้ว

    Master, no conocía su página, super interesante sus opcione, sobre todo la de 150 usd la vdd lo vale :D

  • @gonzalo428
    @gonzalo428 3 ปีที่แล้ว +1

    MUY BUENA EXPLICACIÓN,!!!!!
    Agradecido totalmente. Tengo una pregunta... en este caso el ataque fue dentro de la misma red LAN
    ¿Se podrá aplicar el ataque en distintos segmentos de red?

  • @difarmamarco499
    @difarmamarco499 3 ปีที่แล้ว +1

    hola.
    buen contenido..pero este video , viene con lupa de regalo, pues se aprecia muy pequeño..
    gracias

  • @leivyturbi7757
    @leivyturbi7757 3 ปีที่แล้ว

    Saludos,
    Como mitigar este tipo de ataque?

  • @franciscoagustinpeaaloza8124
    @franciscoagustinpeaaloza8124 3 ปีที่แล้ว

    Hola Tengo una pregunta esto seria ssrf (Server-side request forgery)? gracias

  • @AsrBan
    @AsrBan 2 ปีที่แล้ว +1

    Una consulta soy nuevo en esto??
    Puedo usar la máquina metasploitable para hacer este ejercicio...

    • @DavidPereira
      @DavidPereira  2 ปีที่แล้ว

      Hola, si, puedes usarla. Saludos.

  • @lemisdavidbarcenascarrillo4925
    @lemisdavidbarcenascarrillo4925 3 ปีที่แล้ว

    Muy buen video yo no encontraba documentación nd mas que en ingles

  • @cr4ckto435
    @cr4ckto435 3 ปีที่แล้ว +1

    ver muchos videos y canales
    realmente son malos
    soy de pocos recursos es una mescla autodidacta concatenando empírico concatenando intuición
    su conocer es humano espero hacerme entender
    BUEN TIEMPO MI LIDER.

  • @JuanVargas-nm5tb
    @JuanVargas-nm5tb 3 ปีที่แล้ว

    Exelente video !

    • @Marvalsimm
      @Marvalsimm 3 ปีที่แล้ว

      Como actualizo mi servidor a la versión más reciente log4j??. Algún manual paso a paso??. Saludos profe David.

  • @omnirascarpeta7956
    @omnirascarpeta7956 3 ปีที่แล้ว

    Cómo en pienso en la ciber seguridad

  • @robertooropezagamarra1428
    @robertooropezagamarra1428 3 ปีที่แล้ว +1

    22:17 "mantengase sanos y nunca paren de beber..." felices fiestas!

    • @DavidPereira
      @DavidPereira  3 ปีที่แล้ว

      Jajajajaja!!! Esa frase hubiera estado mejor!!!!

  • @ROTEANDO9999
    @ROTEANDO9999 3 ปีที่แล้ว

    que pena que no consiga solucionar el error de mi debian con virtual box, y no pueda seguir la practica en windows,aun asi lo apunte todo paso a paso, gracias profesor

  • @miguelmujica9006
    @miguelmujica9006 3 ปีที่แล้ว

    Que bueno el video

  • @Marvalsimm
    @Marvalsimm 3 ปีที่แล้ว +1

    Como actualizo mi servidor a la última versión de log4j??. Algún manual paso a paso??. Saludos profe. David.

    • @angelramirez4736
      @angelramirez4736 3 ปีที่แล้ว

      Pues, depende del tipo de proyecto, en muchos casos, basta con que actualices la dependencia en el pom y hacer un mvn update para refrescar los cambios.

  • @JuanMC2000
    @JuanMC2000 2 ปีที่แล้ว

    Yo tengo una pregunta y es por qué da igual el puerto que se indique en el parámetro -p al ejecutar el exploit? Es decir, ¿cómo sabe la víctima cuando recibe el comando malicioso por parte del atacante que tiene que hacer un 200 ok a dicho puerto?

    • @DavidPereira
      @DavidPereira  2 ปีที่แล้ว

      POr que estamos hablando de un sitio web, usando Apache que normalmente escucha por el puerto 80 o el 443. Saludos.

  • @vladimir_nj697
    @vladimir_nj697 3 ปีที่แล้ว +1

    La buena parce!

  • @Ascenso_asc
    @Ascenso_asc 3 ปีที่แล้ว

    Porfavor saquenme de una duda ¿eso quiere decir que sería fatal si empiezo a crear una aplicación en Java? ¿Mi aplicación se verá afectada de alguna u otra forma?

  • @OscarKlee
    @OscarKlee 2 ปีที่แล้ว

    Ok pero no veo la relación entre este ataque y las librerías de java log4j

  • @ofiucosanchez1553
    @ofiucosanchez1553 3 ปีที่แล้ว

    Muy buen video! ¿podrías explicar como conseguir una reverse shell? He probado varias en netcat pasando el comando a Base64 pero funcionan

  • @JarlamDev
    @JarlamDev 3 ปีที่แล้ว +2

    Profe, buenas. Si tengo una app con Log4j "1", ¿está en estos momentos vulnerable al exploit o solo aplica para Log4j2?
    ¡Y muchas gracias por el video! se entiende muy bien.

    • @hugosanchezocampo4022
      @hugosanchezocampo4022 2 ปีที่แล้ว

      Amigo versiones 1 por lo que lei todas estan vulnerables

  • @franciscomesquita2023
    @franciscomesquita2023 ปีที่แล้ว

    Muito bom

  • @cr4ckto435
    @cr4ckto435 3 ปีที่แล้ว

    de igual en el proceso del los videos no los adelanto ni los corto es mas vivo el proceso completo arigato

  • @bh-615
    @bh-615 3 ปีที่แล้ว +1

    Profesor ,a la fecha en el video anterior tuvo 11k vistas y 785 likes.
    En este donde ya expone la practica 5.3k vistas y 384 likes.
    Me pregunto: Que esperaban los que vieron el primer video sobre la vulnerabilidad ?..Que iban a hacer saltar efectivo de un cajero automatico? jajaj

  • @miguelmujica9006
    @miguelmujica9006 3 ปีที่แล้ว

    David . Soy estudiante de ingeniería informática te escribi en el viedo anterior sobre un problema que tengo al utilizar la herramienta de ingeniería social seoolkit . Ya que me estoy vasando en esta herramienta para un proyecto universitario . Pero tengo un problema es en el momento de realizar un ataque es que una ves clono la pagina y copio la Ip de mi PC no cargar en google crome . De hecho abri los puertos de mi ruten el puerto 80 y no carga que estoy haciendo mal.

  •  3 ปีที่แล้ว

    Cuando dices que el Apache Tomcat es una versión vulnerable no es correcto ya que Tomcat no utiliza Log4J.
    Si te fijas en el código de la aplicación vulnerable que utilizas es ella quien en su propio código hace uso del log4j como demostración, pero ni Tomcat ni SpringBoot utilizan esa libreria.
    De todos modos gracias por el video que es muy educativo.

    • @DavidPereira
      @DavidPereira  3 ปีที่แล้ว +1

      Me refería a la aplicación que instalé que es vulnerable por diseño para poder mostrar la explotación; y Apache tomcat si puede usar Log4j en vez de usar JULI que viene por defecto; tomcat.apache.org/tomcat-8.0-doc/logging.html; gracias por tu comentario; saludos.

    •  3 ปีที่แล้ว +4

      @@DavidPereira
      Correcto, Tomcat puede utilizar log4j pero no esta configurado así por defecto.
      Perdona si te he entendido mal pero no queria que se entre en panico con todas las instalaciones de Tomcat que deben estar instaladas.
      Gracias por tu respuesta.

    • @DavidPereira
      @DavidPereira  3 ปีที่แล้ว +1

      @ Muchas gracias a ti por mencionarlo, es posible que yo no lo haya explicado con la necesaria diferenciación y se pueda interpretar como tú dices. Voy a tratar de incluir una tarjeta en el video con el texto o ponerlo en el detalle del video; Saludos, y gracias por tu amabilidad.

  • @berora5667
    @berora5667 3 ปีที่แล้ว

    Très bonne clarification, ça me permet d'avoir une vision différente, merci... humm, avez-vous trouvé des scripts de recherche pour localiser les ( log4j),?.

    • @DavidPereira
      @DavidPereira  3 ปีที่แล้ว

      Vous pouvez utiliser ces scripts :github.com/anchore/grype oui github.com/anchore/syft

  • @truniolado
    @truniolado 3 ปีที่แล้ว +1

    Yo lo que entendí es la explotación de la vulnerabilidad pero lo que me gustaría es que explicaran el exploit, ¿Cuál es la vulnerabilidad? ¿Qué le pasa a ese servidor para que de repente ejecute comandos de un cliente en su propia maquina ?

    • @fofopads4450
      @fofopads4450 3 ปีที่แล้ว

      que permite ejecución de código arbitrario en una consulta

    • @truniolado
      @truniolado 3 ปีที่แล้ว

      ¿porqué permite ejecución de código arbitrario en una consulta?

    • @Kenneth31
      @Kenneth31 3 ปีที่แล้ว

      @@truniolado Esa es la falla según entiendo

  • @Hackenbaker
    @Hackenbaker 3 ปีที่แล้ว

    Honestamente no veo un aporte de tu autoria en donde tu expliques que es el exploit en realidad, solo copias y pegas las instrucciones del repositorio. Eso cualquiera lo podemos hacer. Batallas con las dimensiones de las ventanas, te fallan comando. Creo que debes poner más calidad en lo que haces y dejar de repetir lo que bien se puede leer.

  • @Nicolas-ki9gy
    @Nicolas-ki9gy 3 ปีที่แล้ว

    lol usar base 64 decode online en vez de echo "cadena en base64" | base64 -d ?
    sorry men, no presto atencion a aquellos que no usan bash.

    • @DavidPereira
      @DavidPereira  3 ปีที่แล้ว +2

      Me pareció más entendible hacerlo así en ese momento; hay muchas maneras de obtener un resultado; no todas se entienden con la misma facilidad.

  • @freddymunoz9277
    @freddymunoz9277 3 ปีที่แล้ว +1

    Muy bien explicado, gracias por compartir.

  • @josema535
    @josema535 3 ปีที่แล้ว

    excelente explicación