2021年12月10日凌晨前,网上曝出了 log4j 的核弹级漏洞,这种漏洞超级高危,操作简单,利用方便,适用范围广,可以直接任意代码执行,接管你的服务器。
此处思考曝光者凌晨曝光的原因,或许选择凌晨曝光,想着无数工程师半夜起来紧急修复,让 TA 产生了变态的快感。
我知道你们是想看什么的,就是想看如何演示,不过还是先看下如何修复,提高下安全意识。
0x01. 漏洞情况
Apache Log4j2是一款优秀的Java日志框架。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置。
这里贴下漏洞公开级别。
漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
---|