java之log4j反序列化

07-21 951阅读

1 审计思路

以Log4j漏洞审计为案例,谈一谈审计如何快速的锁定通用型漏洞

1.1 确定源码是否引用了漏洞所属的开源组件

该项目是一个maven项目,直接在Pom文件中搜索log4j的jar包及版本引用问题,如果该版本受影

响,进入下一步

java之log4j反序列化

1.2 寻找漏洞的入口

java之log4j反序列化

1.3 逐个排查入口是否有效,有效即可复现

java之log4j反序列化

2 靶场复现分析

2.1 注意JDK设置

推荐使用jdk1.8.0_101,否则可能无法触发漏洞关于Jdk环境变量切换注意事项:

(1)win10jdk版本切换后,即使重新打开cmd或重启电脑均可能环境变量不生效(对于免安装版的

jdk),需要删除以下文件即可

VPS购买请点击我

文章版权声明:除非注明,否则均为主机测评原创文章,转载或复制请以超链接形式并注明出处。

目录[+]