上周,Java日志库Log4j2注入漏洞CVE-2021-44228被定义为极高危漏洞,国外得分为10分(满分10分)。各厂的工程师忙得不可开交,连夜赶到处理这个漏洞。为什么大家对这个漏洞如此重视?今天让我们复现这个漏洞,了解一下它的危害性。本DEMO旨在了解该漏洞的危害性,并根据您的系统情况进行有针对性的防御。警告本DEMO仅用于技术层面的研究,不涉及恶意远程计算机入侵相关的脚本,且只能在本机上执行。不得利用漏洞非法侵入他人电脑。否则,您可能承担以下侵权责任:根据《中华人民共和国治安管理处罚法》第二十九条规定,违反国家规定,侵入计算机信息系统造成损害的,处五日以下拘留;构成犯罪的,处五日以下拘留。情节严重的,处五日以上十日以下拘留。依照刑法第285条第一款的规定,犯本罪的,处三年以下有期徒刑或者拘役。单位犯本罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款规定处罚。请勿利用漏洞进行违法活动,否则将承担相应的法律责任。漏洞复现由于该漏洞可执行高权限操作,危害极大,故不再详细展开。仅作为演示,您可以针对自己的系统副本进行相应的测试,重现漏洞。重现src包下Log4j2日志打印预期的CVE-2021-4428漏洞。直接在Log4j2中执行JNDI注入,可以直接启动Windows计算器应用。效果图如下:环境重现DEMO需要以下环境:Windows操作系统。nodejs环境,无具体版本要求。Java环境,无具体版本要求,本DEMO是在Java8环境下编写的。log4j日志库,版本需要在漏洞版本范围内,本DEMO使用2.13.3版本。克隆项目后,进入项目根目录执行:cdhttp-server#installnpmi#starttheservicenodeindex然后执行src包下的main方法进行复制操作。本文转载自微信公众号“码农小胖哥”,可通过以下二维码关注。转载本文请联系码农小胖?。
