Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。
由于Apache Log4j2某些功能(JNDI和Message lookups)存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。
实际受影响范围如下:
Apache Log4j 2.x < 2.15.0-rc2
JDK在11.0.1、8u191、7u201、6u211及以上的高版本,将一定程度上导致利用失败。
环境要求:
IDEA 2018 社区版(用最新版的2022编译时弹不了,应该加了安全限制)
JDK 1.8.0_144
Log4j版本:2.13.3
因为属于maven项目,直接通过pom.xml下载依赖组件即可:
然后直接运行即可:
选择的jdk版本为1.8
然后先运行JNDIExploit,java -jar JNDIExploit-1.2-SNAPSHOT.jar -i IP地址
最后点击右上角的run就行,最后运行结果如下图所示:
标签:JNDIExploit,JDK,jar,log4j,漏洞,复现,Apache,日志,Log4j From: https://www.cnblogs.com/st404/p/16736758.html