跟个风，聊一聊这两天很火的Log4j核弹级补丁

进一步重构，发掘出是JNDI扩展素材。

便进一步重构，发掘出了是LDAP协议书，LDAPIP在127.0.0.1，要加载的key是exploit。

最后，调用明确交由LDAP的基本新功能去恳求对应的统计数据。

如果只是恳求基本上的统计数据，那也没什么，但问题就出在还可以恳求Java都可！

Java都可一般只依赖于于线程里，但也可以通过序列化的方式将将其存储到PDF里，或者通过网络平台记事输。

如果是自己假定的序列化方式将也还好，但更有可能会的在于：JNDI还大力支持一个叫名为摘录（Naming References）的方式将，可以通过远程网页一个classPDF，然后网页后加载上去重构都可。

PS：一般而言Java都可相对大，必要通过LDAP这些存储不便，就整了个十分相似二次反转的意即，不必要回到都可素材，而是去告诉他你都可在哪个class里都，让你去那里都告诉他。

注意，这里都就是核心问题了：JNDI可以远程网页classPDF来重构都可！！！。

有可能会在哪里都？

如果远程网页的URL对齐的是一个电脑病毒的IP，并且网页的classPDF里都面藏有恐吓代码，那不就完法藏部了吗？

还没看懂？没关系，我画了一张图：

这就是鼎鼎大名的JNDI注入攻击！

却是除了LDAP，还有RMI的方式将，有意思的可以了解下。

却是这种攻击手法不是这一次经常出现了，早在2016的blackhat筹备会议上，就有老大公开了这种攻击方式将。

回过头来看，问题的核心在于：

Java意味着通过JNDI远程去网页一个classPDF来加载都可，如果这个远程位址是自己的IP，那还好说，如果是可以被不少人来所选的位址，那就要出大问题！

此前面的值得注意里，长期用的127.0.0.1来代替LDAPIP位址，那如果重定向的User-Agent正则表达式里不是这个位址，而是一个恐吓IP位址呢？

这一次缺陷的影响面之所以如此之大，主要还是log4j2的应用于面真是是太广了。

一方面现在Java系统设计设计子程序在Web、后前端合作开发、大统计数据等领域应用极其广泛，国内除了阿里都巴巴、淘宝、美团等一大片以Java为主要系统设计设计子程序的公司外，还有多如牛毛的里小企业为了让Java。

另一方面，还有好多像kafka、elasticsearch、flink这样的大量企业级都是用Java语言学合作开发的。

在上面这些合作开发流程里，大量应用于了log4j2作为快照转换成。只要一个不留神，转换成的快照有本体重定向混进来，那必要就是远程代码执行RCE，灭顶之灾！

新版的log4j2已经修复了这个问题，大家正要追加。

此前面是log4j2官网里关于JNDI lookup的解释：

我通过雅虎告诉他到了缓存的12同月10号此前的快照，大家对比一下，比起此前面这个缓存，上面那一版多了哪些好像？

回答是：修复后的log4j2在JNDI lookup里增加了很多的限制：

默认不便大力支持二次反转（也就是名为摘录）的方式将利用都可

只有在log4j2.allowedLdapClasses列表里所选的class才能利用。

只有远程位址是本地位址或者在log4j2.allowedLdapHosts列表里所选的位址才能利用

以上几道限制，算是彻底屏蔽了通过纸张快照去远程加载class的这条路了。

最后，手机此前的各位Java小伙伴儿们，你们写就的处理程序里适合于到log4j2吗，可否某个以外的转换成，有本体的实例混进来呢？

正要定期检查定期检查哦！

大家弄懂这个缺陷了吗？

如果觉得写就得还不错，赞赏分享发来，点个拉姆，感谢大家的阅读。

原文页面：

创作者：轩辕之风O

如果觉得本文对你有帮助，可以发来关注大力支持一下