log4j/漏洞盒子-手把手教白客自学

log4j/漏洞盒子-手把手教白客自学

接下来，将会对这行要输出的字符串进行解析。

首先，它发现了字符串中有 ${}，知道这个里面包裹的内容是要单独处理的。

进一步解析，发现是JNDI扩展内容。

再进一步解析，发现了是LDAP协议，LDAP服务器在127.0.0.1，要查找的key是。

最后，调用具体负责LDAP的模块去请求对应的数据。

如果只是请求普通的数据，那也没什么，但问题就出在还可以请求Java对象！

Java对象一般只存在于内存中，但也可以通过序列化的方式将其存储到文件中，或者通过网络传输。

如果是自己定义的序列化方式也还好，但更危险的在于：JNDI还支持一个叫命名引用（ ）的方式，可以通过远程下载一个class文件，然后下载后加载起来构建对象。

如果远程下载的URL指向的是一个黑客的服务器，并且下载的class文件里面藏有恶意代码，那不就完犊子了吗？

微信图片_214.jpg

这就是鼎鼎大名的JNDI注入攻击！

影响规模

这一次漏洞的影响面之所以如此之大，主要还是的使用面实在是太广了。

一方面现在Java技术栈在Web、后端开发、大数据等领域应用非常广泛，国内除了阿里巴巴、京东、美团等一大片以Java为主要技术栈的公司外，还有多如牛毛的中小企业选择Java。

另一方面，还有好多像kafka、、flink这样的大量中间件都是用Java语言开发的。

在上面这些开发过程中，大量使用了作为日志输出。只要一个不留神，输出的日志有外部输入混进来，那直接就是远程代码执行RCE，灭顶之灾！

修复方案

目前新版的已经修复了这个问题，将版本升级到2.16.0即可

微信图片_211.jpg

参考文章：

~

网络安全学习，我们一起交流

~