介绍

Log4j是Apache的一个开源项目，通过使用Log4j，我们可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；我们也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。

影响版本

2.0且<2.14.1，本文使用的jdk版本为jdk1.8_065。 pom.xml文件如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>untitled</artifactId>
    <version>1.0-SNAPSHOT</version>

    <properties>
        <maven.compiler.source>8</maven.compiler.source>
        <maven.compiler.target>8</maven.compiler.target>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.0</version>
        </dependency>
    </dependencies>

</project>

分析

首先运行exp下断点进行调试

会进入到info方法，传入的level是INFO类型，继续跟进，跟进到org/apache/logging/log4j/core/pattern/MessagePatternConverter类的format方法

此时对message进行了判断，判断下标为i和i+1的字符是否是$和{

此时我们的i和i+1个字符分别是$和{，符合要求，一直步入，到org/apache/logging/log4j/core/lookup/StrSubstitutor的resolveVariable方法，其中调用了resolver.lookup

resolver.lookup内容如下，获取了前缀jndi

然后进入到lookup.lookup方法 一直执行，最终执行到了jndiManager.lookup,完成jndi注入。

运行结果如下