Apache Log4j 2 是Java语言的日志处理套件,使用极为广泛。
Web特征
由于其不是一个特定的web服务,只是一个第三方库,因此一般没有icon等,但也存在一些web默认特征:
配置文件:通常位于/WEB-INF/classes/或/WEB-INF/目录下,文件名以log4j2开头,如:/WEB-INF/classes/log4j2.xml,但可能做了目录访问权限控制导致无法访问
常见部署场景:
- Java Web 框架:Spring Boot、Spring MVC、Struts、Hibernate 等
- 应用服务器:Tomcat、Jetty、JBoss、WebLogic、WebSphere
- 中间件与服务:ActiveMQ、Jenkins、Solr、Elasticsearch 等
- 企业应用:OA 系统(如致远 OA)、ERP、CRM 等
fofa语法:app="Log4j2"、app="Apache Log4j"
漏洞复现
log4j2等一类涉及JNDI注入的漏洞可以用java-chains进行漏洞复现。
