Apache Log4j2 RCE漏洞复现
看我看我,有没有大佬悄咪咪的给我个exp打自己过过瘾
漏洞描述
Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。
该漏洞危害等级:严重
影响范围
| Log4j版本 | 是否受影响 |
|---|---|
| 2.x<=2.14.1 | 是 |
| 2.15.0-rc1 | 是 |
| 2.15.0-rc2 | 否 |
已知影响组件:
- Apache Struts2
- Apache Solr
- Apache Flink
- Apache Druid
- ElasticSearch
- flume
- dubbo
- Redis
- logstash
- kafka
当前漏洞状态
| 细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
|---|---|---|---|
| 已公开 | 已公开 | 已公开 | 已发现 |
攻击检测
可以通过检查日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。
漏洞排查
代码排查:查看 pom.xml 是否引入 org.apache.logging.log4j、org.apache.logging.log4j2
Linux:
sudo find / -name "*log4j-*.jar"
Windows:
*log4j*.jar
漏洞复现
Vulfocus 靶场环境
目前 Vulfocus 已经集成 Log4j2 环境,可通过以下链接启动环境测试:
http://vulfocus.fofa.so/#/dashboard?image_id=3b8f15eb-7bd9-49b2-a69e-541f89c4216c
也可通过 docker pull vulfocus/log4j2-rce-2021-12-09:latest 拉取本地环境运行,本地启动命令:
docker run -d -P vulfocus/log4j2-rce-2021-12-09:latest
参考链接
https://www.secrss.com/articles/36995
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· winform 绘制太阳,地球,月球 运作规律
· AI与.NET技术实操系列(五):向量存储与相似性搜索在 .NET 中的实现
· 超详细:普通电脑也行Windows部署deepseek R1训练数据并当服务器共享给他人
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 上周热点回顾(3.3-3.9)