摘要:
本文首发于云影实验室,为本人创作,现转载到个人博客,记录一下。 原文链接:https://mp.weixin.qq.com/s/O2xHr2OEHiga-qTnbWTxQg Apache Log4j是Apache的一个开源项目,是一个基于Java的日志记录工具,因其卓越的性能,使用极其广泛。近日该组 阅读全文
摘要:
先说一句,这傻x洞能给cve就离谱,大半夜给人喊起来浪费时间看了一个小时。 先说利用条件: 需要加载“特定”的配置文件信息,或者说实际利用中需要能够修改配置文件(你都能替换配置文件了,还要啥log4j啊)。 然后因为log4j2.17.0已经实际上默认关闭了jndi的使用,还需要对方真的手动打开这个 阅读全文