Apache Log4j特征及漏洞复现

Apache Log4j 2 是Java语言的日志处理套件,使用极为广泛。

Web特征

由于其不是一个特定的web服务,只是一个第三方库,因此一般没有icon等,但也存在一些web默认特征:

配置文件:通常位于/WEB-INF/classes//WEB-INF/目录下,文件名以log4j2开头,如:/WEB-INF/classes/log4j2.xml,但可能做了目录访问权限控制导致无法访问

常见部署场景:

  • Java Web 框架:Spring Boot、Spring MVC、Struts、Hibernate 等
  • 应用服务器:Tomcat、Jetty、JBoss、WebLogic、WebSphere
  • 中间件与服务:ActiveMQ、Jenkins、Solr、Elasticsearch 等
  • 企业应用:OA 系统(如致远 OA)、ERP、CRM 等

fofa语法:app="Log4j2"app="Apache Log4j"

漏洞复现

log4j2等一类涉及JNDI注入的漏洞可以用java-chains进行漏洞复现。

image-20251124201905484
posted @ 2025-12-02 12:57  shinianyunyan  阅读(33)  评论(0)    收藏  举报