【紧急】Log4j又发新版2.17.0，只有彻底搞懂RCE漏洞原因，以不变应万变

经过一周时间的紧急Log4j2 RCE事件的发酵，事情也变也越来越复杂和有趣，又发因就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久，新版又发声明说 2.15.0 版本也没有完全解决问题，彻底然后进而继续发布了 2.16.0 版本。搞懂大家都以为2.16.0是洞原最终终结版本了，没想到才过多久又爆雷，紧急Log4j 2.17.0横空出世。又发因

相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的新版安全漏洞，各企业都瑟瑟发抖，彻底连网警都通知各位站长，搞懂包括我也收到了湖南长沙高新区网警的洞原通知。

我也紧急发布了两篇教程，紧急给各位小伙伴支招，又发因我之前发布的新版教程依然有效。

【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程 【紧急】继续折腾，Log4j再发2.16.0，强烈建议升级

虽然，各位小伙伴按照教程一步一步操作能快速解决问题，亿华云计算但是很多小伙伴依旧有很多疑惑，不知其所以然。在这里我给大家详细分析并复现一下Log4j2漏洞产生的原因，纯粹是以学习为目的。

Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击，具体的操作方式有RMI和LDAP等。

JNDI介绍

1、JNDI定义

JNDI(Java Naming and Directory Interface，Java命名和目录接口)是Java中为命名和目录服务提供接口的API，JNDI主要由两部分组成：Naming(命名)和Directory(目录)，其中Naming是指将对象通过唯一标识符绑定到一个上下文Context，同时可通过唯一标识符查找获得对象，而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中，服务器租用同时可通过名称获取对象的属性，同时也可以操作属性。

2、JNDI架构

Java应用程序通过JNDI API访问目录服务，而JNDI API会调用Naming Manager实例化JNDI SPI，然后通过JNDI SPI去操作命名或目录服务其如LDAP， DNS，RMI等，JNDI内部已实现了对LDAP，DNS， RMI等目录服务器的操作API。其架构图如下所示：

3、JNDI核心API

Java通过JNDI API去调用服务。例如，我们大家熟悉的odbc数据连接，就是通过JNDI的方式来调用数据源的。以下代码大家应该很熟悉：

<?xml version="1.0" encoding="UTF-8"?> <Context>     <Resource name="jndi/person"             auth="Container"             type="javax.sql.DataSource"             username="root"             password="root"             driverClassName="com.mysql.jdbc.Driver"             url="jdbc:mysql://localhost:3306/test"             maxTotal="8"             maxIdle="4"/> </Context> 

很赞哦!（778）