竹笋

首页 » 问答 » 问答 » Log4j2漏洞复现小白向教程
TUhjnbcbe - 2023/3/29 20:50:00

最近,出来了个Log4j2的漏洞,安全圈跟过年了一样,于是也跟着热闹热闹。

Log4j2作为一个开源的Java日志记录插件,被众多项目引用,因此,当其漏洞出现时,影响的范围也极大,可以算是继Python的request库之后的又一重大供应链攻击了。

对其漏洞进行了复现和分析,这里做个记录。

实验环境

Windows10

jdk1.8.(理论上JDK6u、7u、8u之前的版本都行)

Tomcatv9.0

marshalsec(用JNDI-Injection-Exploit也可)

环境搭建

jdk安装

下载指定版本的jdk,双击安装即可,记得勾选将Java添加到path中这个选项,完事之后,在命令行窗口输入java-version查看版本号,出现如下所示界面即为安装成功:

安装成功

maven安装

1
查看完整版本: Log4j2漏洞复现小白向教程