最近刷屏的超级漏洞log4j2,复现难度不大,没接触java的同学花点时间上手下,buuctf和bugku两个ctf平台上都出了题,可以刷下。
条件:需要一台可公网访问的机器(比如云服务器)
BUUCTF在线评测
跳转提示
那么log4j是什么呢?
Log4j是Apache的一个开源项目(但并不是spring-boot的默认日志实现框架,所以使用的时候要在pom配置文件中移除原来的日志框架,并引入Log4j的相关依赖),通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。其他具体可看看这里和