ToB企服应用市场:ToB评测及商务社交产业平台

标题: Apache Log4j2远程命令实验漏洞 [打印本页]

作者: 半亩花草 时间: 2024-5-19 07:13
标题: Apache Log4j2远程命令实验漏洞
目录

AApache Log4j2 是一个基于Java的日记记录工具，被广泛应用于业务体系开辟，开辟者可以利用该工具将程序的输入输出信息举行日记记录。Log4j2 远程代码实验漏洞编号 CVE-2021-44228。
漏洞原理

漏洞主要由于Log4j2在处理程序日记记录时存在 JNDI 入缺陷。JNDI是Java名称与目录接口，是一种查找其他组件、资源或服务的通用机制。利用这个缺陷，通过发送包罗JNDI查找的恶意数据，触发Log4j2组件剖析缺陷，实现远程代码实验。
Log4j2框架下的 lookup 查询服务提供了 {} 字段剖析功能，传进去的值会被直接剖析。在lookup的{}里面构造Payload，调用JNDI服务（LDAP、RMI等）获取恶意的class对象，造成了远程代码实验。
复现

影响版本：Apache Log4j 2.x

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)