Apache Log4j2远程命令实验漏洞

目录

• 漏洞原理
  
• 复现
  
  
  
  • 反弹shell
    
  
  
• 漏洞修复
  

AApache Log4j2 是一个基于Java的日记记录工具，被广泛应用于业务体系开辟，开辟者可以利用该工具将程序的输入输出信息举行日记记录。Log4j2 远程代码实验漏洞编号 CVE-2021-44228。
漏洞原理

漏洞主要由于Log4j2在处理程序日记记录时存在 JNDI 入缺陷。JNDI是Java名称与目录接口，是一种查找其他组件、资源或服务的通用机制。利用这个缺陷，通过发送包罗JNDI查找的恶意数据，触发Log4j2组件剖析缺陷，实现远程代码实验。
Log4j2框架下的 lookup 查询服务提供了 {} 字段剖析功能，传进去的值会被直接剖析。在lookup的{}里面构造Payload，调用JNDI服务（LDAP、RMI等）获取恶意的class对象，造成了远程代码实验。
复现


影响版本：Apache Log4j 2.x