Apache Log4j任意代码执行复现
log4j
log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。
Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。
Apache Log4j2 组件在开启了日志记录功能后,凡是在可触发错误记录日志的地方,插入漏洞利用代码,即可利用成功。
特殊情况下,若该组件记录的日志包含其他系统的记录日志,则有可能造成间接投毒。
通过中间系统,使得组件间接读取了具有攻击性的漏洞利用代码,亦可间接造成漏洞触发。
如果目标没有对我们输入的内容做一些过滤和校验就会使得使目标远程访问到一个LDAP服务请求到一个恶意的class文件从而加载恶意的class文件执行恶意代码
浙公网安备 33010602011771号