log4j JNDI注入漏洞
log4j漏洞复现及详细分析 - FreeBuf网络安全行业门户
Vulhub - Docker-Compose file for vulnerability environment
1、介绍
名称:log4j JNDI注入漏洞
编号:CVE-2021-44228
原理:
应用:log4j
版本:
log4j-1.2.x
log4j:1.2.17及之前版本
log4j-1.2.8
log4j:1.2.14
log4j:1.2.12
log4j:1.2.11
log4j:1.2.9
log4j:1.2.3
log4j-1.2.17
log4j:1.2.15
log4j:1.2.13
log4j:1.2.16
log4j:1.2.10
log4j:1.2.7
log4j:1.2.1
log4j-1.3-Alpha (当时的实验版本,已经停止开发)
log4j-1.4.x
log4j:1.4.2至1.4.17
log4j:1.4.1
log4j:1.4
log4j-1.5.x及以上版本
log4j:1.5.0至1.5.16
log4j:1.5.17至1.5.20
log4j:1.5.21至1.5.22
log4j:1.5.23
log4j:1.5.24
log4j-1.6.x及以上版本
log4j-2.x版本
log4j:2.0至2.17 (<=2.17.0)
2、测试
2.1 靶场搭建
2.2 测试过程
3、漏洞防护