Apache Log4j2 懂得自然懂 https://github.com/tangxiaofeng7/apache-log4j-poc.git ...

0x00 前言 作者：Moco 慢慢的距離上次寫文章已過去了377天，這一年發生了好多好多的事，經歷了好多好多的變故，或喜或悲、或分或合、起起落落，整整的一年了得，沒怎么好好學習，沒怎么認真的 ...

一、log4j2簡介 log4j2是log4j 1.x和logback的改進版，據說采用了一些新技術（無鎖異步、等等），使得日志的吞吐量、性能比log4j 1.x提高10倍，並解決了一些死鎖的bug，而且配置更加簡單靈活 maven配置 也可以配置starter ...

前言 本文建立在log4j-core 2.12.1版本為基礎,在此基礎上進行的源碼剖析 Log4j2的配置可以通過以下四種方式之一完成 通過以XML、JSON、YAML或屬性格式編寫的配置文件。 通過創建ConfigurationFactory和Configuration以編程方式 ...

0X00-引言 過年了，放炮 這個漏洞真牛逼，日天，日地，日空氣 2021年12月10日凌晨，我正坐在馬桶上，突然看到廁紙上面出現一串神秘代碼${jndi:ldap://kao5b1ig.n ...

Apache Log4j2 RCE遠程代碼執行漏洞 漏洞介紹 1、2021年12月10日，國家信息安全漏洞共享平台（CNVD）收錄了Apache Log4j2 遠程代碼執行漏洞（CNVD-2021-95914）。攻擊者利用該漏洞，可在未授權的情況下遠程執行代碼。目前，漏洞利用細節已公開 ...

前言 漏洞描述 Apache Log4j2是一款優秀的Java日志框架。2021年11月24日，阿里雲安全團隊向Apache官方報告了Apache Log4j2遠程代碼執行漏洞。由於Apache Log4j2某些功能存在遞歸解析功能，攻擊者可直接構造惡意請求，觸發遠程代碼執行 ...

利用： https://github.com/tangxiaofeng7/apache-log4j-poc 簡單分析+審計： https://bbs.ichunqiu.com/thread-62322-1-1.html https://mp.weixin.qq.com/s ...