Log4j漏洞复现及原理(附github源码)

已于 2022-03-21 09:23:04 修改
阅读量5.5k 收藏 5
点赞数 3
文章标签: java log4j2
于 2022-02-15 01:08:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42478399/article/details/122932660
版权

github仓库地址

1.背景

之前在公司收到Log4j2爆出一个重大漏洞,公司有大部分应用使用到了Log4j的2.14.0以下的版本,全公司内部程序员收到消息之后,加班加点升级Log4j的版本到2.14.1(这个版本也不稳定),在此记录一下。

2.Log4j的重大漏洞

我们复现一下Log4j 2.14.0版本中出现的安全问题。首先,我们新建一个Maven项目,引入Log4j的jar包

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>log4j2Demo</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>
        <dependenc
最低0.47元/天 解锁文章
cherishlx98
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
log4j漏洞原理及攻击流程
weixin_54603520的博客
05-14 2293
log4j漏洞最早出在2021年11月24日一位阿里安全团队的员工发的,上报到Apache之后,12月10日凌晨才被公开。该漏洞威胁等级较高。基本比肩与阿里当年的fastjson漏洞
log4j 漏洞CVE-2021-44228 漏洞
kyliuw的博客
03-08 5996
log4j 漏洞CVE-2021-44228 漏洞
2024年网络安全最新log4j RCE 漏洞最新相关的Github资料汇总_log4j github(2),网络安全开发进大厂面试必备技能
最新发布
2401_84520182的博客
05-12 947
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
log4j漏洞分析
weixin_47623655的博客
04-11 674
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
Log4j漏洞
m1287578441的博客
06-08 2924
Log4j漏洞
log4j漏洞
weixin_68647219的博客
04-20 4517
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分网中的相关漏洞已经修,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。
log4j2_detect_gui.zip
12-14
Log4j漏洞检测工具,Log4j2_detect工具使用说明,使用详情:https://github.com/webraybtl/Log4j
apahce log4j-api
12-10
基于rc2版本构建打包,码地址https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
log4j2_2.15.0.rar
12-12
近期出log4j2远程执行漏洞还是很吓人的,很容易被入侵。虽然所有的告警信息都告诉到github上下载最新版本,但那里是码,需要自己编译的。为了避免大家花时间去找,这里直接给出直接可以使用的jar包
log4qt 码工程文件
11-17
log4qt 是 log4j 的 Qt 移植,原始项目地址(log4qt.sourceforge.net)于 2009 年起就没有更新,本次版本则是 github 上面的一个维护项目,使 log4qt 能够适用于最新版本的 Qt4 以及 Qt5。
log4j-core-2.15.0.jar
12-10
apache ,log4j, 2.15.0-rc2,远程代码执行,下载内容包含: log4j-core.jar,基于rc2版本构建打包,码地址https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
Log4j2漏洞
weixin_51519028的博客
08-12 1万+
Apache Log4j2是 Apache软件基金会下的一个开的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。2021 年 12 月 9 日晚,Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......
Log4j2漏洞(二)3种方式反弹shell
02-08 1321
Log4j2漏洞(二)3种方式反弹shell,有对环境要求苛刻的、有步骤多的、也有简单易的,时按需要选择,如果是学习我建议都学习下。
Log4j史诗级漏洞,从原理到实战,只用3个实例讲明白
热门推荐
程序新视界
12-13 1万+
背景 最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了。同时也涌出了各类分析文章,关于漏洞的版本、漏洞的原因、漏洞的修、程序员因此加班等等。 经常看我文章的朋友都知道,面对这样热门有意思的技术点,怎能错过深入分析一波呢?大概你也已经听说了,造成漏洞的”罪魁祸首“是JNDI,今天我们就聊它。 JNDI,好熟悉,但……熟悉的陌生人?JNDI到底是个什么鬼?好吧,如果你已经有一两年的编程经验,但还不了解JNDI,甚至没听说过。那么,要么赶紧换工作,要么赶紧读读这篇文章。 JNDI是个什么鬼? 说起JND
完整log4j漏洞
追风筝的摆渡人
12-30 2942
log4j2.X漏洞
Apache log4j核弹级漏洞,一篇完全理解漏洞原因
Java码农杂谈
12-15 4388
2021年12月9日,Log4j组件发生了核弹级别的安全漏洞。作为Java语言程序最普遍使用的组件之一,该次漏洞影响覆盖面之广堪比核弹爆炸;漏洞影响力的大小,从被大家戏称为Log4Shell就可以看出危害之大! 相信圈内的人基本都听到了该消息,也和我一样想弄清楚漏洞究竟是怎么发生的?漏洞的影响范围?能带来什么危害?漏洞原理是什么? 12月10日,Apache官方也是披露了漏洞的相关详细信息。带着疑问了解了相关信息,分享给大家。 一、漏洞的影响范围? 程序中使用了Apache Log4j 2.x <=
[漏洞]log4j漏洞RCE(CVE-2021-44228)
weixin_43895765的博客
12-15 7553
由于排版问题,详情见个人博客文章???? log4j漏洞RCE(CVE-2021-44228)
Log4j漏洞环境搭建以及拿getshell
qq_40898302的博客
04-29 1815
环境搭建 为了实验效果,准备两台设备 kali:10.1.1.17 Windows本机:10.1.1.240 kali虚拟机安装docker环境和vulhub环境 安装方法详情:​​​​​​Vulhub - Docker-Compose file for vulnerability environment 启动docker 进入vulhub/log4j/CVE-2021-44228 启动环境(我是启动过一次,首次启动需要进行编译,需要1-2分钟左右) docker-compose u
log4j漏洞vulhub靶场
08-14
要在 Vulhub 靶场中 log4j 漏洞,你可以按照以下步骤进行操作: 1. 安装 Docker 和 Docker Compose:确保你的系统已经安装了 Docker 和 Docker Compose 工具。 2. 克隆 Vulhub 仓库:在命令行中执行以下命令,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值