只要执行下面的main方法,查看日志打印结果,即可确定是否存在该漏洞:
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
public class Test {
private final static Logger log = LoggerFactory.getLogger(Test.class);
public static void main(String[] args) {
String username = "/\${java:os}";
log.error("username: {}", username);
}
}日志打印结果如下所示,说明不存在该漏洞(并没有执行命令获取系统信息):
4 [main] ERROR com.xx.xx.xx.Test - username: /${java:os}日志打印结果如下所示,说明存在该漏洞(执行了命令):
14:45:07.384 [main] ERROR com.xx.xx.xx.Test - username: /Windows 10 10.0, architecture: amd64-64不同的命令会有不同的效果,恶意命令会造成非常恶劣的影响。
以上测试方法仅作为测试使用,切勿使用该方法和漏洞破坏计算机信息系统或在生产环境使用。
最后
以上就是虚拟大雁最近收集整理的关于Apache Log4j2 远程代码执行高危漏洞 测试方法的全部内容,更多相关Apache内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复