Log4j远程代码执行漏洞复现尝试

Log4j远程代码执行漏洞

实验准备

• 所选漏洞：Apache Log4j远程代码执行漏洞

• 漏洞编号：CVE-2021-44228

• 漏洞选择理由：Apache Log4j是Apache的一个开源项目，Apache log4j2是Log4j的升级版本，用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程，是构成apache服务的重要组件。
  2021年12月9日，阿里云安全团队向apache报告了Log4j-2.14.1中存在JNDI注入漏洞，提出了由log4j日志引起的远程代码执行问题。当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。该漏洞影响 Apache Struts、Apache Solr、Apache Druid、Apache Filnk等众多组件，漏洞影响面极大，甚至可以说完全不使用这些组件构建的服务几乎没有，危害性极高，许多互联网大型厂商的程序员被迫凌晨起床进行应急响应。
  因为该漏洞存在范围极广、利用难度又很低，导致大量白帽在漏洞发布的第二天利用此漏洞大量刷取src，其数量之多以至于让部分src平台宣布暂时停止收类似该漏洞。
  log4j官方也随之紧急公布了新的稳定版本，连发三代，从 log4j 2.15.0 开始，默认情况下已禁用JNDI功能，但是仍有可能被绕过；从版本 2.16.0（以及 2.12.2、2.12.3 和 2.3.1）开始，此功能已被完全删除。直到12月28日晚上发布的 2.17.1版本基本堵死被曝光的漏洞，这次事件才算告一段落。

• 威胁类型

  远程代码执行

• 威胁等级

  NVD以CVSS v3.1标准计算得分10.0，顶满了的极危漏洞