研究漏洞的实质是由于能使我们从这当中掌握漏洞挖掘者的基本思路及其挖掘到新的漏洞，而CodeQL便是一个可以将咱们对漏洞的掌握迅速转换为可完成的标准并挖掘漏洞的神器。依据网络上的传闻Log4j2的RCE漏洞便是小编根据CodeQL发掘出的。尽管怎样挖掘的咱们不为人知，但咱们今天处于过后的视角再去想一想，可以推断一下下小编怎样根据CodeQL挖掘到漏洞的,并试着根据小编的基本思路挖掘新漏洞。

最先我们要搭建Log4j的数据库系统，由于lgtm..info中搭建的是最新版本的Log4j数据库系统，因此只有手工搭建数据库系统了。最先从github获得源代码并转换到2.14.1版本号。由于咱们此次研究的主要是log4j-corel和log4j-api中的具体内容，因此点开网站根目录的Pom.xml注释下边的具体内容。由于log4j-api-jdk1.8和log4j-corel-jdk1.8须要依靠JDK9，因此要先在线下载JDK9而且在C:\Users\登录名\.㎡\toolchains.xml中再加上下边的具体内容。搭建好数据库系统后，我们要找JNDI注入的漏洞，最先要明确在这个套系统中读取了InitialContext#lookup方式。在LookupInterface项目中早已融合了普遍的开展JNDI请求的类,只需略微改一下下就可以。

最先界定Context种类，这一类中融合了将会开展JNDI请求的类。找出sprawl后咱们还须要找出sourse，尽管Codeql界定了RemoteFlowSource适用多种多样sourse，可是咱们依然要依据具体的源代码业务流程来研究将会做为sourse的点。

在Log4j做为系统日志记录的软件，除开从HTTP请求中获得键入点外，还能够在记录系统日志请求或是解析环境变量当中获得sourse。先不要看解析环境变量获得sourse的点了，由于这须要研究Log4j解析环境变量的步骤较为复杂。因此现阶段咱们只考量根据系统日志记录做为sourse的状况。略微掌握Log4j的朋友都了解，Log4j会根据error/erro/sys/debug/route等方式对不一样等级的系统日志开展记录。根据研究我们可以见到咱们键入的message都读取了logIfEnabled方式并做为第4个基本参数键入，因此可以将这儿界定为sourse。