本文将分析最近公开的 Log4j1.2.X反序列化漏洞（CVE-2019-17571） ，顺带分析 Log4j2.X反序列化漏洞（CVE-2017-5645） 。

CVE-2019-17571

影响版本：Log4j1.2.x<=1.2.17

漏洞环境：Log4j1.2.17+Debian+JDK1.7

下载地址：https://logging.apache.org/log4j/1.2/download.html

漏洞分析

其实这个漏洞非常简单，本质就是对从 socket 流中获取的数据没有进行过滤，而直接反序列化。如果当前环境中存在可利用的反序列化 Gadget 链，就可以达到命令执行等效果。我们可以创建如下 Demo 代码用于测试。